Cl0p

Überblick

Bei der Ransomware-Gruppe Cl0p handelt es sich um eine Weiterentwicklung einer zuvor bekannten Schadsoftware-Familie mit der Bezeichnung CryptoMix. Die Gruppe ist finanziell motiviert; ihre Angriffe werden mit der Bedrohungsakteursgruppe TA505 in Verbindung gebracht. Ursprünglich gelangte die Schadsoftware als finale Nutzlast über Phishing-Kampagnen in die Zielsysteme: Über makroaktivierte Dokumente wurde ein Loader namens „Get2“ abgelegt, bevor die Angreifer mit Aufklärung, lateraler Bewegung und Datenabfluss die eigentliche Verschlüsselung vorbereiteten. Nach der Ausführung versieht Cl0p verschlüsselte Dateien mit Endungen wie „.clop“, „.CIIp“, „.Cllp“ oder „.C_L_O_P“ und legt Erpressernachrichten unter Namen wie „ClopReadMe.txt“, „Cl0pReadMe.txt“, „README_README.txt“ oder „READ_ME_!!!.TXT“ ab. Kennzeichnend für die Gruppe ist ein Wandel im Vorgehen: Statt die Nutzlast ausschließlich über Phishing zu verteilen, setzt Cl0p zunehmend auf die Ausnutzung von Schwachstellen in öffentlich erreichbaren Anwendungen, um die Infrastrukturen ihrer Opfer zu kompromittieren und zu infizieren.

Taktiken & Vorgehen

Den Erstzugang erlangt Cl0p über kompromittierte Konten per RDP, über Spear-Phishing-Anhänge mit dem Get2-Loader, der SDBot und den FlawedAmmy RAT nachlädt, sowie über die Ausnutzung öffentlich erreichbarer Anwendungen. Zur Ausführung dienen PowerShell, die Windows-Eingabeaufforderung und Visual-Basic-Makros sowie native API-Aufrufe. Persistenz wird über angelegte Windows-Dienste und Registry-Autostart-Einträge erreicht. Zur Rechteausweitung nutzt die Gruppe Schwachstellen, UAC-Bypass sowie gestohlene Zugangsdaten zur Manipulation von Gruppenrichtlinien auf AD-Servern. Zur Verschleierung kommen gefälschte digitale Signaturen, DLL-Injection, das Löschen von Ereignisprotokollen und Dateien sowie das Deaktivieren von Sicherheitssoftware zum Einsatz. Für laterale Bewegung werden SMB-Admin-Freigaben und RDP genutzt. Eingesetzte Werkzeuge sind Cobalt Strike, PowerShell Empire und TinyMet; der Datenabfluss erfolgt über die DEWMODE-Web-Shell. Verschlüsselt wird mit einer Kombination aus Salsa20, AES und ECDH, anschließend werden Schattenkopien gelöscht.

Schutzmaßnahmen

Fernzugänge über RDP sollten durch Mehr-Faktor-Authentisierung, Netzsegmentierung und die Überwachung von Anmeldungen mit gültigen Konten abgesichert werden. Öffentlich erreichbare Anwendungen sollten zeitnah mit Sicherheitsaktualisierungen versehen werden, da Cl0p Schwachstellen für Erstzugang und Rechteausweitung ausnutzt. Eingehende E-Mails sollten auf Spear-Phishing-Anhänge gefiltert und die Ausführung von Office-Makros unterbunden werden, um den Get2-Loader zu verhindern. Die Ausführung von Skriptinterpretern wie PowerShell sollte eingeschränkt und protokolliert werden, ebenso die Anlage neuer Windows-Dienste und Registry-Autostart-Einträge. Sicherheitssoftware sollte gegen Deaktivierung geschützt und das Löschen von Ereignisprotokollen sowie von Schattenkopien überwacht werden. Auf AD-Servern sollten administrative Konten und Änderungen an Gruppenrichtlinien streng kontrolliert werden, um laterale Bewegung über SMB-Admin-Freigaben zu erschweren.