Güvenlik araştırmacıları, Linux sistemlerini ilk kez hedef alan üretken Clop fidye yazılımı operasyonunu gözlemlediler. İyi haber şu ki, yeni değişken tarafından kullanılan kusurlu şifreleme, kurbanların çalıntı dosyalarını ücretsiz olarak kurtarmalarının mümkün olduğu anlamına geliyor.
Clop fidye yazılımının yeni Linux çeşidi, SentinelLabs araştırmacısı Antonis Terefos tarafından ortaya çıkarıldı ve detaylandırıldı. İçinde bir blog yazısı, Terefos, Linux sistemlerini hedef alan dosya şifreleme kötü amaçlı yazılımını ilk kez 26 Aralık’ta, fidye yazılımı çetesinin yeni kötü amaçlı yazılımı Kolombiya’daki bir üniversiteyi hedeflemek için kullanmasının ardından gözlemlediğini söyledi. Clop’un hala aktif olan sızıntı sitesi, şu anda en son kurbanları arasında Birleşik Krallık’taki su tedarikçisi South Staffordshire Water’ın yanı sıra Columbia’daki La Salle Üniversitesi’ni listeliyor.
Terefos, yeni Linux varyantının, aynı şifreleme yöntemini ve benzer işlem mantığını kullanarak Windows sürümüne benzer olduğunu, ancak fidye talebi ödemeden orijinal dosyaları çözmeyi mümkün kılan kusurlu bir fidye yazılımı şifreleme mantığı da dahil olmak üzere birkaç kusur içerdiğini belirtiyor. Bu nedenle, SentinelLabs bir Clop kurbanları için ücretsiz dosya şifre çözme aracı, Şirketin TechCrunch’a kolluk kuvvetleriyle de paylaştığını söylediği.
Terefos, bazı kusurların Clop bilgisayar korsanlarının Windows sürümünü taşımak yerine fidye yazılımının ısmarlama bir Linux varyantını oluşturmaya karar vermesinden kaynaklandığını söyledi, ancak daha fazla Linux hedefli fidye yazılımının geleceği konusunda uyardı.
“Clop’un Linux aromalı varyasyonu şu anda emekleme aşamasında olsa da, geliştirilmesi ve Linux’un sunucularda ve bulut iş yüklerinde neredeyse her yerde kullanılması, savunucuların gelecekte daha fazla Linux hedefli fidye yazılımı kampanyası görmeyi beklemeleri gerektiğini gösteriyor.” dedi Terefos.
TechCrunch, SentinelLabs’e kaç Clop enfeksiyonu gözlemlediğini sordu ve yanıt alırsak güncellenecek.
Rusça konuşan Clop fidye yazılımı çetesi 2019’dan beri faaliyet gösteriyor ancak 2021’de, kod adı Cyclone Operasyonu olan uluslararası bir yasa uygulama operasyonunun ardından çeteyle bağlantılı altı kişinin tutuklanmasıyla büyük bir gerileme yaşadı. Ukrayna polisi de o sırada çete tarafından kullanılan sunucu altyapısını başarıyla kapattığını söyledi. Ancak Clop, polis baskınlarından sadece haftalar sonra, aralarında bir çiftlik malzemeleri satıcısı ve bir mimarın ofisi de bulunan yeni kurbanlar talep etmeye devam etti.
Ekip, 2022’de daha çok geri dönüş yaptı ve Clop şunları ekledi: 21 kurban yalnızca bir ay içinde karanlık web sızıntı sitesine.
NCC Group stratejik tehdit istihbaratı küresel lideri Matt Hull, “Clop’un etkinliğindeki artış, tehdit ortamına geri döndüklerini gösteriyor gibi görünüyor,” dedi. “Clop’un en çok hedef aldığı sektörlerdeki kuruluşlar – özellikle sanayi ve teknoloji – bu fidye yazılımı grubunun sunduğu tehdidi dikkate almalı ve buna hazırlıklı olmalıdır.”