De Franse overheid heeft een waarschuwing voor de Clop-ransomware afgegeven die de afgelopen weken verschillende Franse organisaties wist te infecteren, waaronder een Frans ziekenhuis. Ook de Universiteit Antwerpen werd eind oktober door de Clop-ransomware getroffen. De ransomware wordt volgens het Franse nationale bureau voor beveiliging van informatiesystemen (ANSSI) handmatig door aanvallers geïnstalleerd. Om toegang tot het netwerk te verkrijgen wordt er gebruikgemaakt van phishingmails.

Vervolgens proberen de aanvallers beheerdersrechten te verkrijgen om zo de verspreiding van de ransomware te vereenvoudigen. "Bovendien worden certificaten gebruikt om de Clop-malware te signeren zodat deze legitiem lijkt", aldus het ANSSI. Daarbij wordt de ransomware vaak in het begin van het weekend of in het weekend zelf verspreid om detectie of herstelacties van de aangevallen organisatie te belemmeren. Tevens verwijdert Clop de "shadow volume copies" van het systeem, waardoor bestanden niet via deze weg zijn te herstellen.

Het ANSSI adviseert organisaties om het aantal domeinbeheerderaccounts te beperken, het gebruik van deze accounts te monitoren, verschillende beheerniveaus aan te houden en met offsite, offline "koude" back-ups te werken. Eerder deze week meldde beveiligingsonderzoeker Vitali Kremez dat de Clop-ransomware op besmette systemen Windows Defender en de beveiligingssoftware van Malwarebytes probeert uit te schakelen. De ransomware wordt volgens Kremez en het ANSSI verspreid door een groep die als "TA505" wordt aangeduid. Deze "financieel gemotiveerde" groep zou al sinds 2014 actief zijn.