Zum Hauptinhalt springen

Die Ransomware CL0P: Beschreibung und Funktionsweise

Angriff der Ransomware cl0p zum Diebstahl verschlüsselter Informationen

In den letzten Jahren hat sich die Ransomware cl0p zu einer enormen Bedrohung für die Cybersicherheit entwickelt und konnte bei einer Vielzahl von Unternehmen und Branchen auf der ganzen Welt erheblichen Schaden anrichten. Obwohl cl0p-Virenangriffe grundsätzlich ganz ähnlich ablaufen wie andere Ransomware-Angriffe, gibt es doch eine Reihe von deutlichen Unterschieden.

Was aber ist cl0p und wie funktionieren diese Angriffe? Und vielleicht noch viel wichtiger: Was können Unternehmen tun, um diesen finanziell äußerst verheerenden Angriffen zu entgehen?

Eine kurze Geschichte der Ransomware CL0P

Cl0p – manchmal auch als cl0p mit der Zahl Null geschrieben – ist eine Art von Ransomware oder erpresserischer Malware. Obwohl sie der Ransomware CryptoMix sehr ähnlich ist, sind die beiden nicht identisch. CryptoMix war zuerst da und bei der Entwicklung von cl0p hat man sich wohl daran orientiert.. Inzwischen hat der Trojaner jedoch mehrere Iterationen durchlaufen, und neue Versionen ersetzen schnell die vorangegangenen.

Entdeckt wurde cl0p von Sicherheitsforschern im Februar 2019 nach einem großen Spear-Phishing-Angriff. Aufgrund der Art und Weise, wie Dateien beschädigt und die Opfer um Geld erpresst wurden, entpuppte sich die Malware schnell als erhebliche Bedrohung für Unternehmen und Organisationen jeglicher Art. Es wird sogar vermutet, dass es der cl0p-Gruppe mit ihrer speziellen Ransomware gelungen ist, weltweit agierende Energiekonzerne, mehrere große Universitäten, die BBC, British Airways und verschiedene Regierungsbehörden um viel Geld zu bringen.

Im Jahr 2020 griff die cl0p-Gruppe Schwachstellen im Private Content Network von Kiteworks (ehemals Accellion) an, um darüber in die Netzwerke der Kunden dieser Plattform einzudringen. Die clop-Malware selbst wurde bei diesem Angriff jedoch nicht eingesetzt. Gleichzeitig gingen die Erfinder des cl0p-Trojaners ein Pharmaunternehmen gleich doppelt an, indem sie Daten des Konzerns zuerst im Rahmen eines massiv zerstörerischen Angriffs entwendeten und anschließend weitergaben.

Im Jahr 2021 folgten Angriffe auf SolarWinds, ein Softwareunternehmen, das IT-Management für verschiedene Unternehmen anbietet, und Swire Pacific Offshore, ein in Singapur ansässiger Anbieter von Offshore-Services.

Im Jahr 2023 steigerte Clop seine Aktivitäten im Vergleich zu den Vorjahren. Von Januar bis Juni 2023 wurde der Trojaner für Angriffe auf Unternehmen aus verschiedenen Branchen eingesetzt, wobei Unternehmensservices an erster Stelle standen, gefolgt von Software und Finanzen. Viele der Opfer hatten ihren Sitz in Nordamerika und Europa, wobei die USA mit deutlichem Abstand die meisten Angriffe verzeichneten.

Das Ausmaß des Angriffs war beträchtlich: Mehr als 2.000 Organisationen meldeten Vorfälle, von denen mehr als 62 Millionen Personen vor allem in den USA betroffen waren.

Die Serie von Ransomware-Angriffen der Cl0p-Gruppe gipfelte in der Ausnutzung einer Schwachstelle der Dateiübertragungssoftware MOVEit (CVE-2023-34362): Nach Angaben der Angreifer selbst waren Hunderte von Unternehmen betroffen, denen ein Ultimatum bis zum 14. Juni gestellt wurde. Die Malware, gegen die es bis dahin kein Mittel gab, ermöglichte den massenhaften Download von Unternehmensdaten, einschließlich verschiedener vertraulicher Informationen. Die amerikanischen Strafverfolgungsbehörden setzten daraufhin eine Belohnung von 10 Millionen US-Dollar für Informationen über Cl0p aus.

Was ist Cl0p?

Was also ist cl0p? Eine Analyse von Cl0p hat gezeigt, dass es sich dabei um eine Variante der Ransomware CryptoMix handelt. So geht es auch beim cl0p-Virus darum, ein Zielgerät zu infizieren. Allerdings fügt diese neue Variante sämtlichen Dateien die Erweiterung .cl0p an und verschlüsselt sie, was sie unbrauchbar macht.

Damit die Ausführung gelingt, ist die cl0p-Ransomware entsprechend dem Win32 PE-Format (Portable Executable) für ausführbare Dateien gestaltet. Entscheidend ist dabei, dass Forscher auf ausführbare Dateien des Cl0p-Virus mit verifizierten Signaturen gestoßen sind. Für die Sicherheitssoftware sieht das Virus damit seriös aus und wird nicht als Malware erkannt. Anschließend verschlüsselt cl0p die Dateien mit der Stream-Chiffre RS4 und die RC4-Schlüssel zusätzlich noch mit RSA 1024. Die Ransomware hat es auf alle Dateien auf einem Gerät abgesehen: Bilder, Videos, Musik und Dokumente.

Nach der Verschlüsselung übermittelt cl0p dem Opfer eine Lösegeldforderung des Angreifers. Bei Nichtzahlung wird damit gedroht, die Daten aus diesen Dateien zu veröffentlichen. Das Perfide an dieser Vorgehensweise ist die „zweifache Erpressbarkeit“ der Opfer, da zum einen die Dateien unzugänglich gemacht werden und zweitens mit der Veröffentlichung der Daten gedroht wird. In der Regel ist das Lösegeld in Bitcoin oder einer anderen Kryptowährung zu zahlen.

Wer steckt hinter Ransomware cl0p?

Aber wer ist der Urheber der cl0p-Ransomware? Es wird vermutet, dass cl0p von einer russischsprachigen Gruppe von Cyberkriminellen stammt, die Ransomware-as-a-Service anbietet und mit ihrer Software in erster Linie Geld machen will. Die Gruppe ist unter dem Namen TA505 bekannt, wird aber gelegentlich auch als FIN11 betitelt. Noch ist nicht ganz geklärt, ob es sich bei beiden um dieselbe Gruppe handelt oder ob FIN11 eine Unterabteilung von TA505 ist.

Unter welchem Namen auch immer vertreibt diese Ransomware-Gang ihr Produkt cl0p als Ransomware-as-a-Service. Der cl0p-Virus wird im Darknet zum Verkauf angeboten und kann praktisch von jedem Cyberkriminellen genutzt werden, der bereit ist, für die Ransomware zu bezahlen.

Ransomware cl0p: Funktionsweise

Angriffe mit der cl0p-Ransomware erfolgen in der Regel in mehreren Stufen. Sie lauten:

  1. Über die Malware bedienen sich die Angreifer verschiedener Methoden, um sich Zugang zum Zielgerät zu verschaffen.
  2. Anschließend durchsuchen Sie das Gerät manuell und stehlen die Daten, die für sie von Interesse sind.
  3. An diesem Punkt beginnt die Verschlüsselung, um die Dateien auf dem Zielgerät unbrauchbar zu machen, zum Beispiel durch Ändern der Dateierweiterung. In jüngster Zeit kam es häufiger vor, dass die Daten gestohlen, aber nicht verschlüsselt wurden, so wie im Fall der Angriffe von 2023 gegen die Dateiübertragungssoftware MOVEit.
  4. Sobald das Opfer versucht, eine der verschlüsselten Dateien zu öffnen, erscheint eine Lösegeldforderung mit Anweisungen, wie die Zahlung geleistet werden soll.
  5. Der Angreifer nutzt die „zweifache Erpressbarkeit“ und droht damit, dass bei Nichtzahlung die vom Gerät des Opfers gestohlenen Daten offengelegt würden.
  6. Nach Zahlung des Lösegelds erhält das Opfer einen Entschlüsselungscode, mit dem die Dateien auf dem Gerät wiederhergestellt werden können.

Für die Einschleusung der Ransomware cl0p auf die Zielgeräte stehen den Angreifern mehrere Methoden zur Verfügung. Dazu könnten gehören:

  • Phishing (unter Verwendung von Social Engineering-Techniken)
  • Ausnutzung von Software-Schwachstellen
  • Infizierte E-Mail-Anhänge und Links
  • Infizierte Webseiten
  • Unterwanderung von externen Remote-Diensten

Wie auch immer der cl0p-Trojaner auf das Zielgerät gelangt, der daraus resultierende Angriff läuft im Wesentlichen immer nach demselben Schema ab. Ziel ist es immer, vom Opfer ein Lösegeld zu erpressen. Nicht selten passiert es jedoch, dass der Angreifer das Geld annimmt und von da an nicht mehr reagiert. Das Opfer erhält also keinen Entschlüsselungscode und kann seine Dateien weiterhin nicht nutzen.

So verhindern Sie die Ransomware cl0p

Eine Infizierung mit cl0p lässt sich vor allem durch grundlegenden Sicherheitsvorkehrungen vermeiden, die jeder Nutzer auf seinem Gerät vornehmen muss. Hier gelten dieselben Grundsätze wie für die Verhinderung aller Arten von Cyberangriffen:

  • Machen Sie Malware-Bedrohungen in Ihren Sicherheitsschulungen zum Thema, damit Ihre Mitarbeiter stets über die neuesten Bedrohungen und Vorsichtsmaßnahmen auf dem Laufenden sind. Die Kaspersky Automated Security Awareness Platform ist hierfür ein nützliches Tool.
  • Schützen Sie Ihre Unternehmensdaten, u. a. mit Zugriffskontrollen.
  • Greifen Sie nicht über öffentliche Netze auf Remote-Dienste zu, und wenn doch, verwenden Sie sichere Passwörter für diese Dienste.
  • Erstellen Sie Datensicherungen und bewahren Sie sie an einem separaten Ort auf, wie einem Cloud-Speicher oder auf externen Laufwerken im Back Office.
  • Halten Sie alle Softwareprogramme und Anwendungen, auch Betriebssysteme und Serversoftware, auf dem neuesten Stand und stellen Sie sicher, dass die neuesten Sicherheits-Patches sofort installiert werden. Dies gilt insbesondere für Patches von kommerziellen VPN-Lösungen, über die sich Mitarbeiter per Fernzugriff mit dem Unternehmensnetzwerk verbinden. Automatische Updates und Installationen können vor allem außerhalb der Bürozeiten bequem eingeplant werden.
  • Lesen Sie die neuesten Threat Intelligence-Berichte.
  • Nutzen Sie Softwarelösungen wie Kaspersky Endpoint Detection oder Kaspersky Managed Detection and Response zur frühzeitigen Erkennung von Bedrohungen, um Angriffe bereits im Anfangsstadium zu erkennen und zu stoppen.
  • Verwenden Sie vertrauenswürdige Sicherheitslösungen für Endpoints – Kaspersky Endpoint Security for Business bietet Exploit-Prävention, Verhaltenserkennung mithilfe von KI und Expertenwissen zu Bedrohungen, Reduzierung von Angriffsflächen und eine Remediation Engine, die schädliche Aktionen rückgängig macht.

Umgang mit dem Ransomware-Virus cl0p

Ist ein Gerät erst einmal mit dem cl0p-Virus infiziert, gibt es kaum Möglichkeiten, den Zugriff auf die Dateien wiederherzustellen. Wie bei jeder Art von Ransomware-Angriff lautet auch hier die Empfehlung, das geforderte Lösegeld nicht zu zahlen. Zum einen halten sich die Angreifer häufig nicht an die Abmachung und stellen trotz Zahlung keinen Entschlüsselungscode zur Verfügung. Und selbst wenn sie es tun, werden sie durch die erfolgreiche Erpressung ermutigt, weiterzumachen und das nächste nichtsahnende Opfer ins Visier zu nehmen.

Anstatt das Lösegeld zu zahlen, sollten Sie den Fall lieber den Behörden melden, damit eine Ermittlung eingeleitet werden kann. Es besteht auch die Möglichkeit, das Gerät mit einem der vielen Softwareprogramme zu untersuchen und die CL0P-Ransomware zu entfernen. Allerdings bringt Ihnen dieser Scan die beim Angriff verschlüsselten Dateien nicht zurück. Gerade deshalb ist es so wichtig, regelmäßig Datenbackups zu erstellen und diese an einem separaten Ort zu speichern – einer externen Festplatte oder in der Cloud. Im Falle eines Angriffs können Sie dann darauf zurückgreifen.

Wenn es um die Sicherheit Ihres Computers geht, ist immer Vorsicht geboten. Bleiben Sie stets wachsam, sei es beim Surfen im Internet oder beim Herunterladen, Installieren und Aktualisieren von Software.

Die Bedrohung durch Cl0p

In einer weitgehend digitalen Gesellschaft wie der unseren, stellt die Ransomware cl0p, wie alle andere Arten von Viren und Malware auch, eine ständige Bedrohung für die Cybersicherheit dar. Innerhalb der Flut von Erpresser-Malware ist der cl0p-Virus ist eine sehr spezielle Bedrohung, die vor allem Unternehmen und Organisationen ins Visier nimmt. Trotz möglicher schwerwiegende Folgen für die Opfer gibt es doch einige präventive Maßnahmen und Sicherheitsvorkehrungen, mit denen sich das Risiko eines Cl0p-Angriffs minimieren und die Auswirkungen eines Angriffs abmildern lassen.

Verwandte Artikel:

Verwandte Produkte und Services:

Die Ransomware CL0P: Beschreibung und Funktionsweise

Wappnen Sie sich gegen die Bedrohung durch Ransomware cl0p, indem Sie sich informieren, wie sie funktioniert und wie sich diese Angriffe abwehren lassen. Sie finden diese Informationen im Ressourcencenter von Kaspersky.
Kaspersky logo

Weitere interessante Artikel: