Cl0p 勒索软件的 Linux 变种出现

最近出现了一个针对 Linux 系统的 Cl0p 勒索软件变体，但加密算法中的一个缺陷已经允许创建一个免费的解密器。

最近出现了一个针对 Linux 系统的 Cl0p 勒索软件变体，但加密算法中的一个缺陷已经允许为其创建一个免费的解密器。

Cl0p 是过去几年中最活跃的勒索软件家族之一，针对全球众多私人和公共组织，涉及航空航天、能源、教育、金融、高科技、医疗保健、制造、电信以及运输和物流等领域.

2021 年 11 月，当局宣布逮捕了6 名与 Cl0p 行动有关的人，但勒索软件继续被用于攻击。2022 年 8 月，Cl0p 声称对入侵一家英国自来水公司负责。

一个勒索软件组织至少袭击了英国的一家自来水公司，但究竟是谁的系统遭到破坏尚不明确。 Cl0p 勒索软件组织在其基于 Tor 的泄密网站上声称它已经破坏了 Thames Water 的系统，Thames Water 自称是英国最大的供水和废水处理公司，为 1500 万人提供服务。 然而，网络安全专家指出，虽然 Cl0p 在其网站上命名为 Thames Water，但作为违规证据而泄露的文件实际上似乎属于另一家名为 South Staffordshire 的自来水公司，其子公司 South Staffs Water 和 Cambridge Water 服务于 1.6百万人口和数以万计的企业在英国。 在其网站上，Cl0p 将公司地址和收入命名为 Thames Water，但同一页面上显示的电话号码和第二个地址属于 South Staffs Water。一些泄露的文件还提到了南斯塔福德郡和南斯塔福德水务公司。

今天，网络安全公司 SentinelOne 宣布发现了 Cl0p（又名 Clop）的 Linux 变体，该变体在 2022 年 12 月下旬用于攻击哥伦比亚的一所大学。

Cl0p 的 ELF 变体是按照与 Windows 版本类似的逻辑开发的，并且似乎处于早期开发阶段，因为它缺少 Windows 示例中的一些功能。

SentinelOne 表示，观察到的差异包括 API 调用和其他与操作系统相关的变化，但加密方法是相同的。

执行后，勒索软件会尝试访问根目录，然后开始加密其他目录。与 Windows 变体不同，它针对特定文件夹和子文件夹，加密其中的所有文件。

Linux 的 Cl0p 目标是可选软件包的子目录、多个 Oracle 目录、每个用户的主目录以及 root 用户的主目录。然后将勒索字条放在受害者的机器上，指示他们通过电子邮件与攻击者联系。

SentinelOne 对威胁的分析揭示了加密算法中的一个缺陷，在加密过程中使用了硬编码的 RC4“主密钥”，这使他们能够解密 Cl0p 加密的文件。

为了帮助 Cl0p-ELF 变体的受害者恢复数据，SentinelOne 创建了一个 Python 脚本，可在 GitHub 上找到。

“虽然 Linux 风格的 Cl0p 变体目前还处于起步阶段，但它的发展以及 Linux 在服务器和云工作负载中几乎无处不在的使用表明，防御者应该期待看到更多针对 Linux 的勒索软件活动向前发展，” SentinelOne 总结道。

思维导图下载：GB-T 39276-2020 网络产品和服务安全通用要求

网络安全的下一步是什么

网络安全等级保护：第三级网络安全设计技术要求整理汇总

网络安全等级保护：信息安全服务提供方管理要求

网络安全对抗行为（十八）：用于了解恶意操作的模型及攻击归因和结论

网络安全对抗行为（十九）：词汇表

网络安全培训：如何建立网络意识的企业文化

网络安全取证（九）操作系统分析之存储取证

网络安全取证（十）操作系统分析之存储取证

网络安全取证（十二）数据恢复和文件内容雕刻

网络安全取证（十六）云取证

网络安全取证（十七）伪影分析

网络安全取证（十三）数据恢复和文件内容雕刻（下）

网络安全取证（十一）操作系统分析之块设备分析

网络安全运营和事件管理（二十）：执行-缓解和对策之拒绝服务

网络安全运营和事件管理（二十二）：执行-缓解和对策之站点可靠性工程

网络安全运营和事件管理（二十六）：知识-智能和分析之态势感知

网络安全运营和事件管理（二十七）：人为因素：事件管理

网络安全运营和事件管理（二十三）：知识-智能和分析之网络安全知识管理

网络安全运营和事件管理（二十四）：知识-智能和分析之蜜罐和蜜网

网络安全运营和事件管理（二十五）：知识-智能和分析之网络威胁情报

网络安全运营和事件管理（二十一）：执行-缓解和对策之SIEM平台和对策

网络安全运营和事件管理（十八）：计划-警报关联

网络安全运营和事件管理（十九）：执行-缓解和对策之入侵防御系统

网络安全运营和事件管理（十六）：分析之基准利率谬误

网络安全运营和事件管理（十七）：计划-安全信息和事件管理及数据收集

网络安全运营和事件管理（一）：简介

网络安全之事件管理

网络安全之云计算的安全风险

网络安全知识：什么是社会工程学

网络安全知识体系1.1对抗行为（十七）：用于了解恶意操作的模型之地下经济建模为资本流动

网络安全知识体系1.1对抗行为（十三）：恶意操作的要素之支付方式

网络安全知识体系1.1恶意软件和攻击技术（六）：恶意软件分析

网络安全知识体系1.1恶意软件和攻击技术（十三）：恶意软件响应及中断

网络安全知识体系1.1法律法规（二十）信息系统犯罪的执法与处罚

网络安全知识体系1.1法律法规（二十八）法律约束—合同

网络安全知识体系1.1法律法规（二十九）侵权行为

网络安全知识体系1.1法律法规（二十六）违约和补救措施

网络安全知识体系1.1法律法规（二十七）合同对非缔约方的影响

网络安全知识体系1.1法律法规（二十五）责任限制和责任排除

网络安全知识体系1.1法律法规（二十一）不受欢迎的自助：软件锁定和黑客攻击

网络安全知识体系1.1法律法规（九）数据主权问题

网络安全知识体系1.1法律法规（三十）  对缺陷产品严格负责

网络安全知识体系1.1法律法规（三十八）国际待遇和法律冲突

网络安全知识体系1.1法律法规（三十二）赔偿责任的数额

网络安全知识体系1.1法律法规（三十九）互联网中介机构-免于承担责任和撤销程序

网络安全知识体系1.1法律法规（三十六）执行–补救措施

网络安全知识体系1.1法律法规（三十七）逆向工程

网络安全知识体系1.1法律法规（三十三）

网络安全知识体系1.1法律法规（三十三）归因、分摊和减少侵权责任

网络安全知识体系1.1法律法规（三十四）法律冲突–侵权行为

网络安全知识体系1.1法律法规（三十五）知识产权

网络安全知识体系1.1法律法规（三十一）  限制责任范围：法律因果关系

网络安全知识体系1.1法律法规（十）国际人权法的基础

网络安全知识体系1.1法律法规（十八）执行和处罚

网络安全知识体系1.1法律法规（十二）国家以外的人的拦截

网络安全知识体系1.1法律法规（十九）电脑犯罪

网络安全知识体系1.1法律法规（十六）国际数据传输

网络安全知识体系1.1法律法规（十七）  个人数据泄露通知

网络安全知识体系1.1法律法规（十三）数据保护

网络安全知识体系1.1法律法规（十四）核心监管原则

网络安全知识体系1.1法律法规（十五）适当的安全措施

网络安全知识体系1.1法律法规（十一）国家拦截

网络安全知识体系1.1法律法规（四十）文件非物质化和电子信托服务

网络安全知识体系1.1法律法规（四十二）国际公法

网络安全知识体系1.1法律法规（四十三）其他监管事项

网络安全知识体系1.1法律法规（四十四）结论：法律风险管理

网络安全知识体系1.1法律法规（四十一）  伦理学

网络安全知识体系1.1风险管理和治理（八）安全度量

网络安全知识体系1.1风险管理和治理（九）业务连续性

网络安全知识体系1.1风险管理和治理（六）脆弱性管理

网络安全知识体系1.1风险管理和治理（七）风险评估和管理

网络安全知识体系1.1风险管理和治理（十）结论

网络安全知识体系1.1风险管理和治理（五）风险评估与管理方法（下）

网络安全知识体系1.1人为因素（二）：可用的安全性——基础

网络安全知识体系1.1人为因素（一）：了解安全中的人类行为

网络安全知识体系1.1隐私和在线权利（八）：隐私作为透明度及基于反馈的透明度

网络安全知识体系1.1隐私和在线权利（九）：隐私作为透明度及基于审计的透明度

网络安全知识体系1.1隐私和在线权利（六）：隐私作为控制之支持隐私设置配置

网络安全知识体系1.1隐私和在线权利（七）：隐私作为控制之支持隐私政策谈判和可解释性

原文始发于微信公众号（河南等级保护测评）：Cl0p 勒索软件的 Linux 变种出现