Il ransomware Clop

Clop è un #ransomware che si è evoluto come una variante di #Cryptomix.

Si spacula che il gruppo che diffonde questo ransomware sia #TA505 noto anche come #HIVE0065, un gruppo #hacker russo le cui prime azioni risalgono al 2014

Ransom.Clop è stato visto per la prima volta nel febbraio 2019, oltre a crittografare i sistemi, esfiltra anche i dati che vengono pubblicati sul web se la vittima si rifiuta di pagare il riscatto.

Questa è diventata una tecnica piuttosto comune, ma il gruppo che diffonde Clop è stato il primo ad adottarla, segnando la strada per colleghi.

Clop interrompe molti processi di #Windows e tenta di disinstallare il software di sicurezza prima di avviare la routine di crittografia. Quando la crittografia è terminata, alle vittime verrà mostrata una richiesta di riscatto.

I file vengono criptati utilizzando una chiave pubblica RSA a 1024 bit, crittografa i file con RC4 utilizzando 117 byte della chiave pubblica.

Il vettore di trasmissione più comune è l'e-mail, spesso inviato come #spam, ma a volte combinato con tecniche di #spearphishing.

Il gruppo che diffonde questo malware ha dimostrato nel tempo una capacità di evoluzione importante, recentemente hanno iniziato ad inviare email anche ai clienti delle vittime dicendogli che se la vittima, loro fornitore, non pagherà il riscatto i loro dati sensibili trafugati alla vittima verranno divulgati.

Vittime eccellenti: #RaceTracPetroleum, #Qualys, Università della California, #Accellion Inc.

Tweet