Clop Ransomware Gang usa torrents para filtrar datos robados

El sindicato de ransomware Clop ha iniciado un enfoque novedoso al hacer que los datos robados de los ataques MOVEit sean accesibles a través de torrents, como indican informes recientes.

El analista de seguridad Dominic Alvieri reveló este desarrollo en Twitter, compartiendo capturas de pantalla que destacan a varias víctimas prominentes cuya información comprometida ahora circula a través de redes de intercambio entre pares (P2P).

Los nombres notables entre la lista de entidades afectadas incluyen Putnam, una firma de inversión; Iron Bow Technologies, una empresa de tecnología; Delaware Life, una compañía de seguros; así como Aon, Zurich Brasil y United Healthcare Student Resources, todas entidades destacadas dentro de sus respectivos dominios.

La decisión del grupo Clop de utilizar torrents para difundir datos podría deberse al reconocimiento de que los volcados de datos extensos a menudo sufren velocidades de descarga lentas, lo que en última instancia disminuye el valor que obtienen los actores de amenazas cuando comparten la información en plataformas de fugas.

En un intento por agilizar el proceso, el grupo ha brindado cuidadosamente una guía paso a paso sobre el uso de clientes de torrent, junto con detalles relacionados con aproximadamente 20 organizaciones comprometidas.

Esta maniobra no es la primera instancia en la que Clop ha experimentado con enfoques innovadores para mejorar la accesibilidad de sus datos obtenidos de forma ilícita. Anteriormente, establecieron sitios web de nivel superficial adaptados a organizaciones violadas específicas, como PwC.

Los grupos de ransomware exploran continuamente nuevas vías para elevar su reputación y capitalizar sus ataques. Otra área de enfoque para ellos es diseñar estrategias para notificar a sus víctimas sobre las infracciones.

¿Quién es el grupo Clop Ransomware?

El grupo de ransomware Clop es una notoria organización ciberdelincuente conocida por realizar ataques de ransomware de alto perfil contra varios objetivos, incluidas corporaciones, instituciones y entidades gubernamentales. El grupo ganó prominencia por sus técnicas avanzadas, tácticas agresivas y campañas de extorsión a gran escala.

Estos son algunos puntos clave sobre el grupo de ransomware Clop:

Orígenes: se cree que el grupo Clop surgió a mediados de la década de 2010. Sin embargo, sus actividades se volvieron más reconocidas en los últimos años debido a su participación en ataques de alto perfil.

Operaciones de ransomware: el grupo emplea ransomware para cifrar los archivos y sistemas de las víctimas, haciéndolos inaccesibles hasta que se paga un rescate. A menudo exigen cantidades sustanciales de criptomonedas a cambio de una clave de descifrado.

Sectores objetivo: Clop se dirige principalmente a organizaciones en sectores como finanzas, atención médica, tecnología e infraestructura crítica. Sus ataques han afectado a empresas de todo el mundo.

Sitio de fuga: una de las tácticas distintivas de Clop es el uso de "sitios de fuga". Después de cifrar los datos de una víctima, el grupo amenaza con divulgar información confidencial si no se paga el rescate. Publican una parte de los datos robados en estos sitios web para presionar a las víctimas para que cumplan.

Doble extorsión: Clop es conocido por adoptar una estrategia de "doble extorsión". Esto implica no solo cifrar los datos de las víctimas, sino también robarlos antes del cifrado. Si la víctima se niega a pagar el rescate, el grupo amenaza con liberar los datos robados, lo que podría causar daños legales y de reputación.