Το Clop ransomware χρησιμοποιεί πλέον torrents για τη διαρροή δεδομένων και την αποφυγή καταργήσεων
Η συμμορία ransomware Clop άλλαξε για άλλη μια φορά τις τακτικές εκβιασμού και τώρα χρησιμοποιεί torrents για να διαρρεύσει δεδομένα που έχουν κλαπεί σε επιθέσεις MOVEit.
Ξεκινώντας στις 27 Μαΐου, η συμμορία ransomware Clop εξαπέλυσε ένα κύμα επιθέσεων κλοπής δεδομένων εκμεταλλευόμενη μια ευπάθεια zero-day στην ασφαλή πλατφόρμα μεταφοράς αρχείων MOVEit Transfer.
Η εκμετάλλευση αυτής της μηδενικής ημέρας επέτρεψε στους παράγοντες της απειλής να υποκλέψουν δεδομένα
σχεδόν 600 οργανισμοί σε όλο τον κόσμο
πριν καταλάβουν ότι τους χάκαραν.
Στις 14 Ιουνίου, η συμμορία ransomware άρχισε να εκβιάζει τα θύματά της, προσθέτοντας σιγά σιγά ονόματα στον ιστότοπο διαρροής δεδομένων Tor και τελικά κυκλοφόρησε δημόσια τα αρχεία.
Ωστόσο, η διαρροή δεδομένων μέσω ενός ιστότοπου Tor έχει ορισμένα μειονεκτήματα, καθώς η ταχύτητα λήψης είναι αργή, καθιστώντας τη διαρροή, σε ορισμένες περιπτώσεις, όχι τόσο επιζήμια όσο θα ήταν αν ήταν ευκολότερη η πρόσβαση στα δεδομένα.
Για να το ξεπεράσει αυτό, ο Clop δημιούργησε ιστοτόπους clearweb για διαρροή κλεμμένων για ορισμένα από τα θύματα κλοπής δεδομένων MOVEit, αλλά αυτοί οι τύποι τομέων είναι ευκολότερος να καταργήσουν οι αρχές επιβολής του νόμου και οι εταιρείες.
Μετακίνηση σε torrents
Ως νέα λύση σε αυτά τα ζητήματα, ο Clop έχει αρχίσει να χρησιμοποιεί torrents για τη διανομή δεδομένων που έχουν κλαπεί από την επίθεση MOVEit.
Σύμφωνα με ερευνητή ασφαλείας
Ντόμινικ Αλβιέρι
που εντόπισε πρώτος αυτή τη νέα τακτική, έχουν δημιουργηθεί torrents για είκοσι θύματα, συμπεριλαμβανομένων των Aon, K & L Gates, Putnam, Delaware Life, Zurich Brazil και Heidelberg.
Ως μέρος αυτής της νέας μεθόδου εκβιασμού, ο Clop έχει δημιουργήσει έναν νέο ιστότοπο Tor που παρέχει οδηγίες σχετικά με τον τρόπο χρήσης προγραμμάτων-πελατών torrent για τη λήψη των δεδομένων που διέρρευσαν και τις λίστες με μαγνητικούς συνδέσμους για τα είκοσι θύματα.
Λίστα με τα διαθέσιμα Clop torrents
Πηγή: BleepingComputer
Καθώς τα torrents χρησιμοποιούν μεταφορά peer-to-peer μεταξύ διαφορετικών χρηστών, οι ταχύτητες μεταφοράς είναι μεγαλύτερες από τις παραδοσιακές τοποθεσίες διαρροής δεδομένων Tor.
Σε μια σύντομη δοκιμή από το BleepingComputer, αυτή η μέθοδος επέλυσε τα κακά ζητήματα μεταφοράς δεδομένων, καθώς λαμβάναμε ταχύτητες μεταφοράς δεδομένων 5,4 Mbps, παρόλο που είχε δημιουργηθεί μόνο από μία διεύθυνση IP στη Ρωσία.
Επιπλέον, καθώς αυτή η μέθοδος διανομής είναι αποκεντρωμένη, δεν υπάρχει εύκολος τρόπος για την επιβολή του νόμου να την κλείσει. Ακόμα κι αν το αρχικό πρόγραμμα σποράς είναι εκτός σύνδεσης, μπορεί να χρησιμοποιηθεί μια νέα συσκευή για τη δημιουργία κλεμμένων δεδομένων, όπως απαιτείται.
Εάν αυτό αποδειχθεί επιτυχές για τον Clop, πιθανότατα θα τους δούμε να συνεχίζουν να χρησιμοποιούν αυτήν τη μέθοδο για τη διαρροή δεδομένων, καθώς είναι πιο εύκολη η εγκατάσταση, δεν απαιτεί περίπλοκο ιστότοπο και μπορεί να πιέσει περαιτέρω τα θύματα λόγω της αυξημένης δυνατότητας για ευρύτερη διανομή κλεμμένων δεδομένων.
Η Coveware λέει ότι ο Clop αναμένεται να κερδίσει 75-100 εκατομμύρια δολάρια σε πληρωμές εκβιασμών. Όχι επειδή πολλά θύματα πληρώνουν, αλλά επειδή οι παράγοντες της απειλής έπεισαν με επιτυχία έναν μικρό αριθμό εταιρειών να πληρώσουν πολύ μεγάλες απαιτήσεις για λύτρα.
Το εάν η χρήση torrents θα οδηγήσει σε περισσότερες πληρωμές δεν έχει ακόμη καθοριστεί. Ωστόσο, με αυτά τα κέρδη, μπορεί να μην έχει σημασία.
