Similaire à son homologue Windows, la variante ELF identifiée par SentineLabs utilise la même méthode de chiffrement et une logique de processus identique. Elle a été repérée lors d’une attaque importante contre une université en Colombie qui a probablement eu lieu autour du 24 décembre, le groupe cybercriminel ayant divulgué les données des victimes sur sa page le 5 janvier dernier.

La variante ELF de Cl0p semble être dans ses phases initiales de développement car certaines fonctionnalités présentes dans les versions Windows n’existent pas actuellement dans cette nouvelle version Linux. En effet, les versions Windows contiennent un algorithme de hachage afin de ne PAS chiffrer des dossiers et des fichiers spécifiques, qui n’a pas été observée dans la variante Linux. La variante ELF cible des dossiers spécifiques, des sous-dossiers et tous les fichiers/types. Il faut également noter que, si actuellement il n’est pas détecté par les 64 moteurs de sécurité de VirusTotal, SentinelOne Singularity repère ce ransomware sur les endpoints Linux comme Windows.

Les opérations de Cl0p n’ont montré que peu ou pas de ralentissement depuis juin 2021. Bien que la variante Linux de Cl0p n’en soit qu’à ses débuts, son développement et l’utilisation presque omniprésente de Linux dans les serveurs et les workloads dans le cloud laissent à penser que les campagnes de ransomware ciblant Linux vont se multiplier à l’avenir.

SentinelLabs continue de surveiller l’activité associée à Cl0p et SentinelOne Endpoint protège contre les artefacts et les comportements malveillants associés aux attaques Cl0p, y compris la variante ELF.