In de wereld van cybercriminaliteit zijn hackersgroepen een voortdurende bedreiging voor de digitale beveiliging van organisaties. Eén opvallend collectief in dit landschap is Cl0p, dat zich als een pionier in de wereld van hackersgroepen profileerde door als een van de eersten dubbele afpersing toe te passen. Hoewel ransomwaregroepen vaak snel uiteenvallen of worden ontmaskerd, vormt Cl0p een uitzondering. Ze zijn sinds 2019 actief, waarmee ze tot een van de langst opererende ransomware-groepen behoren. Hun aanvallen hebben door de jaren heen dan ook een groot aantal slachtoffers gemaakt, waardoor ze erg berucht zijn binnen de cybersecurity gemeenschap.
Ondanks meerdere pogingen om de groep op te sporen en op te pakken, lijken ze niet te stoppen. In 2021 werd een aantal leden van Cl0p gearresteerd in Oekraïne, waardoor het er even op leek dat de groep was opgerold. Maar opvallend genoeg kwam de hackersgroep na enkele maanden van inactiviteit weer op gang. Dit laat zien hoe veerkrachtig en vastberaden Cl0p is, en hoe lastig het kan zijn om dergelijke geavanceerde cybercriminelen definitief uit te schakelen.
Dubbele afpersing
Cl0p is als één van de eerste groepen dubbele afpersing gaan toepassen, helaas nog altijd een zeer effectieve methode om slachtoffers te chanteren. Het begint met het versleutelen van de bestanden van het getroffenen, waardoor ze de toegang tot hun data verliezen. Dit alleen al is disruptief, aangezien vrijwel ieder bedrijf voor de meeste dagelijkse activiteiten tegenwoordig afhankelijk is van data.
Maar wat Cl0p was als een van de eerste hackerscollectieven bereid om nog een stap verder te gaan. Naast het versleutelen van bestanden, stelen ze ook gevoelige gegevens van hun slachtoffers. Dit kunnen klantgegevens, financiële informatie, persoonlijke data en andere vertrouwelijke documenten zijn. Er wordt dus niet alleen losgeld gevraagd voor het vrijgeven van de gegijzelde systemen, maar ook nog eens een vergoeding voor het niet lekken van de bemachtigde data. Hiermee worden de slachtoffers geconfronteerd met de dreiging van reputatieschade, juridische gevolgen en financiële verliezen, omdat het lekken van dergelijke gevoelige informatie ernstige consequenties kan hebben voor de betrokken individuen en organisaties.
Het is duidelijk dat Cl0p met deze dubbele afpersingstechniek aanzienlijke inkomsten heeft gegenereerd. Ze hebben op slinkse wijze ingespeeld op de angst en kwetsbaarheid van hun slachtoffers, wat velen dwingt om toe te geven aan hun eisen en losgeld te betalen om zowel hun versleutelde bestanden te herstellen als de dreiging van openbaarmaking van gestolen gegevens te voorkomen.
Wat we de laatste tijd ook zien, is dat cybercriminelen soms zelfs afzien van het versleutelen van bestanden en zich in plaats daarvan alleen richten op het dreigen met het lekken van gegevens. Dit is voor hen een eenvoudigere manier om slachtoffers onder druk te zetten, omdat ze geen uitgebreide encryptiesoftware hoeven te gebruiken om bestanden te vergrendelen. Het dreigen met openbaarmaking is al voldoende om slachtoffers tot betaling te dwingen.
Opvallende hacks: GoAnywhere en MOVEit
Cl0p heeft zichzelf op de kaart gezet door aanvallen uit te voeren op grote organisaties, wat hen beroemd en beruchte heeft gemaakt in de wereld van cybercriminaliteit. Twee van hun meest recente en succesvolle campagnes maakte gebruik van zero-day kwetsbaarheden in de sofware van GoAnywhere en MOVEit. Via deze nieuwe en nog onbekende kwetsbaarheden konden ze zonder enige weerstand binnendringen in de systemen van verschillende bedrijven.
Door misbruik te maken van de zero-day kwetsbaarheid in de bestandsoverdracht tool GoAnywhere, was Cl0p in staat om gegevens te stelen van meer dan 130 organisaties die gebruik maakten van het GoAnywhere-platform. Een verontrustend voorbeeld van hoe cybercriminelen zero-day kwetsbaarheden kunnen gebruiken om op grote schaal schade aan te richten en gevoelige informatie te stelen zonder dat er enige tijd is om beschermende maatregelen te implementeren.
Via de zero-day kwetsbaarheid in MOVEit Transfer, een veelgebruikte applicatie voor het delen van bestanden, wist Cl0p zich onder andere te richten op het Amsterdamse navigatiebedrijf TomTom. Via de kwetsbaarheid wisten ze toegang te krijgen tot de gegevens van het bedrijf. Hoewel TomTom later bevestigde dat er geen gegevens waren buitgemaakt die een negatieve materiële impact konden hebben, blijft het verlies van data een zorgwekkende zaak. Naast TomTom werden ook Schneider Electric, Siemens Energy, Shutterfly en talrijke Duitse banken getroffen via deze zero-day kwetsbaarheid.
Het verontrustende aspect van deze hacks is dat Cl0p erin slaagde om gebruik te maken van kwetsbaarheden die nog niet bekend waren bij de beveiligingsgemeenschap. Dit benadrukt de noodzaak van voortdurende waakzaamheid en proactieve beveiligingsmaatregelen om te kunnen anticiperen en reageren op nieuwe en geavanceerde bedreigingen.
Bescherming tegen ransomware-aanvallen
Om een organisatie effectief te beschermen tegen ransomware-aanvallen, is het van cruciaal belang om proactief te handelen en robuuste cybersecurity-maatregelen te nemen. Een eerste stap is het minimaliseren van het aantal systemen dat rechtstreeks met het internet is verbonden. Door externe toegang tot essentiële apparaten te beperken, wordt de kans op kwetsbaarheden en aanvallen kleiner. Daarnaast is het essentieel ervoor te zorgen dat alle software en systemen altijd up-to-date zijn met de nieuwste patches en beveiligingsupdates. Dit verhelpt bekende kwetsbaarheden die door hackers kunnen worden misbruikt.
Een andere belangrijke stap is investeren in goede monitoring en detectiemechanismen. Het is van cruciaal belang om ongewone activiteiten te identificeren die kunnen wijzen op een ransomware-aanval, zoals verdachte datatransfers of pogingen tot ongeoorloofde toegang. Door snel te reageren op dergelijke signalen, kan de impact van een aanval beperkt blijven. Als de aanval gebruik maakt van onbekende zero-day kwetsbaarheden, zoals de aanvallen van Cl0p, dan is goede monitoring vaak de enige inzetbare verdediging.
Bovendien is het raadzaam om zo min mogelijk gevoelige informatie op online platforms te bewaren. Beperk de toegang tot deze gegevens en zorg ervoor dat ze zijn versleuteld. Zelfs als hackers erin slagen om data te stelen, maakt versleuteling het moeilijker voor hen om bruikbare informatie te bemachtigen. Het is ook van cruciaal belang om regelmatig back-ups te maken en deze elders te bewaren. Dit zorgt ervoor dat de organisatie toegang heeft tot ‘schone’ gegevens in geval van een ransomware-aanval.
Cl0p blijft een geduchte tegenstander in de wereld van cybercriminaliteit, dankzij hun innovatieve tactieken en voortdurende aanvallen. Hun gebruik van dubbele afpersing en zero-day kwetsbaarheden maakt ze tot een ernstige dreiging voor organisaties wereldwijd. Door waakzaam te zijn en proactieve cybersecurity-maatregelen te nemen, kunnen we allemaal bijdragen aan het versterken van onze digitale weerbaarheid tegen dergelijke aanvallen.
Dit is een ingezonden bijdrage van Computest. Via deze link vind je meer informatie over de mogelijkheden van het bedrijf.
2 dagen geleden
