Clop Ransomware Gang nutzt Torrents, um gestohlene Daten preiszugeben

Das Clop-Ransomware-Syndikat hat einen neuartigen Ansatz initiiert, indem es gestohlene Daten aus MOVEit-Angriffen über Torrents zugänglich macht, wie aus jüngsten Berichten hervorgeht.

Der Sicherheitsanalyst Dominic Alvieri gab diese Entwicklung auf Twitter bekannt und veröffentlichte Screenshots, die mehrere prominente Opfer hervorheben, deren kompromittierte Informationen jetzt über Peer-to-Peer-Netzwerke (P2P) verbreitet werden.

Zu den bemerkenswerten Namen in der Liste der betroffenen Unternehmen gehören Putnam, eine Investmentfirma; Iron Bow Technologies, ein Technologieunternehmen; Delaware Life, eine Versicherungsgesellschaft; sowie Aon, Zurich Brazil und United Healthcare Student Resources, allesamt bedeutende Unternehmen in ihren jeweiligen Domänen.

Die Entscheidung der Clop-Gruppe, Torrents zur Verbreitung von Daten zu nutzen, könnte auf der Erkenntnis beruhen, dass umfangreiche Daten-Dumps häufig unter langsamen Download-Geschwindigkeiten leiden, was letztendlich den Nutzen schmälert, den Bedrohungsakteure durch die Weitergabe der Informationen auf Leak-Plattformen erzielen.

Um den Prozess zu rationalisieren, hat die Gruppe sorgfältig Schritt-für-Schritt-Anleitungen zur Verwendung von Torrent-Clients bereitgestellt und Details zu etwa 20 kompromittierten Organisationen beigefügt.

Dieses Manöver ist nicht das erste Mal, dass Clop mit innovativen Ansätzen experimentiert, um die Zugänglichkeit seiner unrechtmäßig erlangten Daten zu verbessern. Sie haben zuvor oberflächliche Websites eingerichtet, die auf bestimmte betroffene Organisationen wie PwC zugeschnitten sind.

Ransomware-Gruppen suchen ständig nach neuen Wegen, um ihren Ruf zu verbessern und aus ihren Angriffen Kapital zu schlagen. Ein weiterer Schwerpunkt liegt für sie auf der Entwicklung von Strategien, um ihre Opfer über die Verstöße zu informieren.

Wer ist die Clop Ransomware Group?

Die Clop-Ransomware-Gruppe ist eine berüchtigte Cyberkriminalitätsorganisation, die dafür bekannt ist, hochkarätige Ransomware-Angriffe gegen verschiedene Ziele durchzuführen, darunter Unternehmen, Institutionen und Regierungsstellen. Die Gruppe erlangte Bekanntheit durch ihre fortschrittlichen Techniken, aggressiven Taktiken und groß angelegten Erpressungskampagnen.

Hier sind einige wichtige Punkte zur Clop-Ransomware-Gruppe:

Ursprünge: Die Clop-Gruppe soll Mitte der 2010er Jahre entstanden sein. Aufgrund seiner Beteiligung an aufsehenerregenden Angriffen erlangten seine Aktivitäten jedoch in den letzten Jahren größere Aufmerksamkeit.

Ransomware-Operationen: Die Gruppe setzt Ransomware ein, um die Dateien und Systeme der Opfer zu verschlüsseln und sie so unzugänglich zu machen, bis ein Lösegeld gezahlt wird. Sie verlangen oft erhebliche Mengen an Kryptowährung als Gegenleistung für einen Entschlüsselungsschlüssel.

Anvisierte Sektoren: Clop richtet sich hauptsächlich an Organisationen in Sektoren wie Finanzen, Gesundheitswesen, Technologie und kritische Infrastruktur. Ihre Angriffe haben Unternehmen weltweit betroffen.

Leak-Site: Eine der besonderen Taktiken von Clop ist die Nutzung von „Leak-Sites“. Nachdem die Daten eines Opfers verschlüsselt wurden, droht die Gruppe mit der Herausgabe vertraulicher Informationen, wenn das Lösegeld nicht gezahlt wird. Sie veröffentlichen einen Teil der gestohlenen Daten auf diesen Websites, um Opfer zur Einhaltung zu drängen.

Doppelte Erpressung: Clop ist dafür bekannt, eine Strategie der „doppelten Erpressung“ zu verfolgen. Dabei werden die Daten der Opfer nicht nur verschlüsselt, sondern vor der Verschlüsselung auch gestohlen. Sollte sich das Opfer weigern, das Lösegeld zu zahlen, droht die Gruppe mit der Herausgabe der gestohlenen Daten, was möglicherweise Reputations- und Rechtsschäden nach sich zieht.