Clop目标高管，勒索软件战术得到另一个新的扭曲- Malwarebytes Labs | Malwarebytes Labs必威平台APP必威官方登录备用

CLOP Targets Execs，Ransomware战术获得了另一个新的扭曲

发布:2021年2月23日经过Pieter Arntz.

在最近的数据外泄趋势上，勒索软件贩子想出了另一个狡猾的花招。在采访了几名Clop勒索软件的受害者后，ZDNet发现其操作人员似乎是有系统的针对高管的工作站。毕竟，顶级管理人员更有可能在其机器上具有敏感的信息。

如果这个策略有效，很可能其他勒索软件家族也会效仿，就像他们过去复制其他成功的策略一样。

什么是Clop勒索软件?

Clop首次出现是在2019年2月Cryptomix但从那时起，它走了自己的发展道路。2020年10月，它成为首个要求超过2000万美元赎金的勒索软件。的受害者,德国科技公司Software AG，拒绝支付。作为回应，CLOP的运营商发布了他们在攻击期间收集的机密信息，在黑暗的网络网站上。

当我们第一次遇到文件加密的赎金软件时，我们同时被吓坏而吓坏了。这个想法的简单性 - 即使它花了很多技巧来完善坚固的加密例程 - 你会立即识别为一个持续的程序。

从那以后，勒索软件通过我们之前看到的方式开发了其他类型的恶意软件，但它也引入了一些完全新的技术。克隆克隆的高管的目标只是我们在过去几年中见证的最新创新列表。

让我们快速地了解一些从技术技巧到高级社会工程的创新。

大多数成功的赎金瓶家庭已经远离喷雾和祈祷策略，以更具针对性的攻击。攻击者手动闯入公司网络，而不是尝试加密大量的单个计算机，而不是闯入公司网络，并尝试瘫痪整个组织。

攻击者通常利用已知的漏洞或试图强行输入密码打开RDP港口。一旦他们获得了进入，他们可能会尝试升级他们的特权，映射网络，删除备份，并将其勒索软件传播到尽可能多的机器。

最新的勒索软件之一是数据外泄。在渗透受害者的网络并对其电脑进行加密的过程中，一些勒索软件团伙还从他们感染的电脑中窃取数据。然后他们威胁要在网站上公布这些数据，或者将其拍卖掉。这给了犯罪分子额外的筹码来对付那些不愿或不需要花钱来解密他们数据的受害者。

这种额外的ransom in.maze介绍了扭曲但也被使用Egregor,赎金。就像我们上面提到的。

我警告你关于技术创新。这个人在其中脱颖而出。如上所述恶意软件状态2021报告，这个名为RagnarLocker的勒索软件团伙发现了一种新的方法，可以在逃避反勒索软件保护的同时，对终端上的文件进行加密。

RansomWare的运算符下载虚拟机（VM）图像，静默地加载，然后启动它内部的Ransomware，其中端点保护软件无法看到它。ransomware通过Guest Machine的“共享文件夹”访问主机系统上的文件。

在恶意软件2021中还提到了报告是遗迹ransomware，它在加密虚拟硬盘（VHD）周围找到了一种方法。这些文件是包含虚拟机硬盘的巨大档案。如果攻击者想要加密VHD，他们会忍受痛苦的缓慢过程（当您尝试不被捕获时，每秒计数是因为这些文件有多大。

RegretLocker使用一种技巧来“挂载”虚拟硬盘，这样它们就像物理硬盘一样容易访问。一旦完成，勒索软件就可以访问VHD中的文件，并对它们进行单独加密、窃取或删除。这是一种比试图锁定整个VHD文件更快的加密方法。

勒索软件在避免检测和禁用现有安全软件方面也做得越来越好。例如，Clop勒索软件停止663个Windows进程（这是一个惊人的数量），并尝试在它开始加密例程之前禁用或卸载多个安全程序。

停止这些进程可以释放一些无法加密的文件，因为它们会被锁定。它还降低了触发警报的可能性，并可能阻碍生成新的备份。

如果克隆的新策略将被其他赎金瓶家庭复制或如何发展，则仍然可以看出。

据推测，威胁泄露泄露的数据的策略降低了一些受害者的期望，支付赎金将结束他们的麻烦。专门针对高管的数据可能是一种补救方法，可以增加受害者的压力。

Clop，也就是模仿者，也可能试图利用管理者机器上发现的信息，传播到其他组织。例如，考虑一种被称为电子邮件对话线程劫持的方法，它使用现有的电子邮件对话(以及由此产生的信任关系)来传播给新的受害者。或者这些信息可以卖给专门从事威胁的人商务邮件折中(BEC)。

如果你感兴趣，可以在ransom.clop检测档案。