Clop Ransomware-bande bruger torrents til at lække stjålne data

Clop ransomware-syndikatet har indledt en ny tilgang ved at gøre stjålne data fra MOVEit-angreb tilgængelige via torrents, som nyere rapporter indikerer.

Sikkerhedsanalytiker Dominic Alvieri afslørede denne udvikling på Twitter og delte skærmbilleder, der sætter fokus på adskillige fremtrædende ofre, hvis kompromitterede oplysninger nu bliver cirkuleret gennem peer-to-peer (P2P) delingsnetværk.

Bemærkelsesværdige navne blandt listen over berørte enheder inkluderer Putnam, et investeringsselskab; Iron Bow Technologies, en teknologivirksomhed; Delaware Life, et forsikringsselskab; samt Aon, Zürich Brasilien og United Healthcare Student Resources, alle fremtrædende enheder inden for deres respektive domæner.

Clop-gruppens beslutning om at bruge torrents til at formidle data kan stamme fra erkendelsen af, at omfattende datadumps ofte lider under træge downloadhastigheder, hvilket i sidste ende mindsker den værdi, som trusselsaktører opnår, når de deler informationen på lækageplatforme.

I et forsøg på at strømline processen har gruppen eftertænksomt givet trin-for-trin vejledning om at bruge torrent-klienter, ledsagende detaljer relateret til cirka 20 kompromitterede organisationer.

Denne manøvre er ikke det første tilfælde, hvor Clop har eksperimenteret med innovative tilgange til at forbedre tilgængeligheden af deres dårligt indsamlede data. De har tidligere etableret hjemmesider på overfladeniveau, der er skræddersyet til specifikke brudte organisationer, såsom PwC.

Ransomware-grupper udforsker konstant nye veje for at højne deres omdømme og udnytte deres angreb. Et andet fokusområde for dem er at udtænke strategier til at underrette deres ofre om bruddene.

Hvem er Clop Ransomware Group?

Clop ransomware-gruppen er en berygtet cyberkriminel organisation kendt for at udføre højprofilerede ransomware-angreb mod forskellige mål, herunder virksomheder, institutioner og offentlige enheder. Gruppen vandt frem for sine avancerede teknikker, aggressive taktikker og storstilede afpresningskampagner.

Her er nogle nøglepunkter om Clop ransomware-gruppen:

Oprindelse: Clop-gruppen menes at være opstået i midten af 2010'erne. Dets aktiviteter er dog blevet mere anerkendt i de senere år på grund af dets involvering i højt profilerede angreb.

Ransomware-operationer: Gruppen anvender ransomware til at kryptere ofres filer og systemer, hvilket gør dem utilgængelige, indtil en løsesum er betalt. De kræver ofte betydelige mængder cryptocurrency i bytte for en dekrypteringsnøgle.

Målrettede sektorer: Clop retter sig primært mod organisationer inden for sektorer som finans, sundhedspleje, teknologi og kritisk infrastruktur. Deres angreb har påvirket virksomheder verden over.

Lækagested: En af Clops karakteristiske taktikker er dens brug af "lækagesteder". Efter at have krypteret et offers data truer gruppen med at frigive følsomme oplysninger, hvis løsesummen ikke betales. De offentliggør en del af de stjålne data på disse websteder for at presse ofrene til at overholde reglerne.

Dobbelt afpresning: Clop er kendt for at anvende en "dobbelt afpresning"-strategi. Dette involverer ikke kun kryptering af ofres data, men også at stjæle dem før kryptering. Hvis offeret nægter at betale løsesummen, truer gruppen med at frigive de stjålne data, hvilket potentielt kan forårsage skade på omdømmet og juridisk.