Clop Ransomware Gang naudoja torrentus, kad nutekėtų pavogti duomenys

Išpirkos reikalaujančių programų sindikatas „Clop“ ėmėsi naujoviško metodo, paversdamas pagrobtus MOVEit atakų duomenis prieinamus per torrentus, kaip rodo naujausios ataskaitos.

Saugumo analitikas Dominicas Alvieri atskleidė šią plėtrą socialiniame tinkle „Twitter“, pasidalydamas ekrano kopijomis, kurios atkreipia dėmesį į keletą žinomų aukų, kurių pažeista informacija dabar platinama per lygiaverčius (P2P) dalijimosi tinklus.

Tarp susijusių subjektų sąrašo žinomi vardai yra investicinė įmonė Putnam; technologijų įmonė „Iron Bow Technologies“; Delaware Life, draudimo bendrovė; taip pat Aon, Ciurich Brazil ir United Healthcare Student Resources – visi žinomi subjektai atitinkamose srityse.

Grupės „Clop“ sprendimas naudoti torrentus duomenims platinti galėjo lemti pripažinimas, kad dideli duomenų išvartymai dažnai kenčia dėl lėto atsisiuntimo greičio, o tai galiausiai sumažina grėsmės veikėjų, kai jie dalijasi informacija nutekėjusiose platformose, įgyjamą vertę.

Siekdama supaprastinti procesą, grupė apgalvotai pateikė nuoseklias gaires, kaip naudoti torrent klientus, kartu su informacija, susijusia su maždaug 20 pažeistų organizacijų.

Šis manevras nėra pirmas atvejis, kai Clopas išbandė naujoviškus metodus, kad pagerintų neteisėtai gautų duomenų prieinamumą. Jie anksčiau sukūrė paviršiaus lygio svetaines, pritaikytas konkrečioms pažeidusioms organizacijoms, tokioms kaip PwC.

Ransomware grupės nuolat ieško naujų būdų, kaip pagerinti savo reputaciją ir pasinaudoti savo atakomis. Kita jų dėmesio sritis yra strategijų kūrimas, kaip pranešti savo aukoms apie pažeidimus.

Kas yra „Clop Ransomware Group“?

„Clop ransomware“ grupė yra liūdnai pagarsėjusi kibernetinių nusikaltėlių organizacija, žinoma kaip vykdanti aukšto lygio išpirkos reikalaujančių programų atakas prieš įvairius taikinius, įskaitant korporacijas, institucijas ir vyriausybės subjektus. Grupė išgarsėjo dėl savo pažangių technikų, agresyvios taktikos ir didelio masto turto prievartavimo kampanijų.

Štai keletas pagrindinių dalykų apie „Clop“ išpirkos programų grupę:

Ištakos: Manoma, kad Clop grupė atsirado 2010-ųjų viduryje. Tačiau pastaraisiais metais jos veikla tapo plačiau pripažinta dėl dalyvavimo didelio atgarsio išpuoliuose.

Išpirkos reikalaujančios programos operacijos: grupė naudoja išpirkos reikalaujančias programas, kad užšifruotų aukų failus ir sistemas, todėl jie tampa nepasiekiami, kol nesumokama išpirka. Jie dažnai reikalauja didelių kriptovaliutų sumų mainais už iššifravimo raktą.

Tiksliniai sektoriai: „Clop“ visų pirma skirta organizacijoms tokiuose sektoriuose kaip finansai, sveikatos priežiūra, technologijos ir ypatingos svarbos infrastruktūra. Jų išpuoliai paveikė bendroves visame pasaulyje.

Nutekėjimo vieta: Viena iš išskirtinių Clop taktikų yra „nutekėjimo vietų“ naudojimas. Užšifravusi aukos duomenis, grupuotė grasina paviešinti neskelbtiną informaciją, jei nebus sumokėta išpirka. Jie skelbia dalį pavogtų duomenų šiose svetainėse, siekdami priversti aukas laikytis reikalavimų.

Dvigubas turto prievartavimas: Clop yra žinomas kaip „dvigubo turto prievartavimo“ strategijos taikymas. Tai apima ne tik aukų duomenų šifravimą, bet ir jų vagystę prieš šifravimą. Jei auka atsisako sumokėti išpirką, grupuotė grasina atskleisti pavogtus duomenis, o tai gali padaryti žalos reputacijai ir teisinei.