最近出现了一个针对 Linux 系统的 Cl0p 勒索软件变体,但加密算法中的一个缺陷已经允许创建一个免费的解密器。
最近出现了一个针对 Linux 系统的 Cl0p 勒索软件变体,但加密算法中的一个缺陷已经允许为其创建一个免费的解密器。
Cl0p 是过去几年中最活跃的勒索软件家族之一,针对全球众多私人和公共组织,涉及航空航天、能源、教育、金融、高科技、医疗保健、制造、电信以及运输和物流等领域.
2021 年 11 月,当局宣布逮捕了6 名与 Cl0p 行动有关的人,但勒索软件继续被用于攻击。2022 年 8 月,Cl0p 声称对入侵一家英国自来水公司负责。
|
一个勒索软件组织至少袭击了英国的一家自来水公司,但究竟是谁的系统遭到破坏尚不明确。 Cl0p 勒索软件组织在其基于 Tor 的泄密网站上声称它已经破坏了 Thames Water 的系统,Thames Water 自称是英国最大的供水和废水处理公司,为 1500 万人提供服务。 然而,网络安全专家指出,虽然 Cl0p 在其网站上命名为 Thames Water,但作为违规证据而泄露的文件实际上似乎属于另一家名为 South Staffordshire 的自来水公司,其子公司 South Staffs Water 和 Cambridge Water 服务于 1.6百万人口和数以万计的企业在英国。 在其网站上,Cl0p 将公司地址和收入命名为 Thames Water,但同一页面上显示的电话号码和第二个地址属于 South Staffs Water。一些泄露的文件还提到了南斯塔福德郡和南斯塔福德水务公司。 |
今天,网络安全公司 SentinelOne 宣布发现了 Cl0p(又名 Clop)的 Linux 变体,该变体在 2022 年 12 月下旬用于攻击哥伦比亚的一所大学。
Cl0p 的 ELF 变体是按照与 Windows 版本类似的逻辑开发的,并且似乎处于早期开发阶段,因为它缺少 Windows 示例中的一些功能。
SentinelOne 表示,观察到的差异包括 API 调用和其他与操作系统相关的变化,但加密方法是相同的。
执行后,勒索软件会尝试访问根目录,然后开始加密其他目录。与 Windows 变体不同,它针对特定文件夹和子文件夹,加密其中的所有文件。
Linux 的 Cl0p 目标是可选软件包的子目录、多个 Oracle 目录、每个用户的主目录以及 root 用户的主目录。然后将勒索字条放在受害者的机器上,指示他们通过电子邮件与攻击者联系。
SentinelOne 对威胁的分析揭示了加密算法中的一个缺陷,在加密过程中使用了硬编码的 RC4“主密钥”,这使他们能够解密 Cl0p 加密的文件。
为了帮助 Cl0p-ELF 变体的受害者恢复数据,SentinelOne 创建了一个 Python 脚本,可在 GitHub 上找到。
“虽然 Linux 风格的 Cl0p 变体目前还处于起步阶段,但它的发展以及 Linux 在服务器和云工作负载中几乎无处不在的使用表明,防御者应该期待看到更多针对 Linux 的勒索软件活动向前发展,” SentinelOne 总结道。
思维导图下载:GB-T 39276-2020 网络产品和服务安全通用要求
原文始发于微信公众号(河南等级保护测评):Cl0p 勒索软件的 Linux 变种出现
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论