Clop Ransomware Gang bruker torrents for å lekke stjålne data

Clop-ransomware-syndikatet har initiert en ny tilnærming ved å gjøre stjålne data fra MOVEit-angrep tilgjengelige gjennom torrenter, som nyere rapporter indikerer.

Sikkerhetsanalytiker Dominic Alvieri avslørte denne utviklingen på Twitter, og delte skjermbilder som setter søkelyset på flere fremtredende ofre hvis kompromitterte informasjon nå blir sirkulert gjennom peer-to-peer (P2P) delingsnettverk.

Bemerkelsesverdige navn blant listen over berørte enheter inkluderer Putnam, et investeringsselskap; Iron Bow Technologies, et teknologiselskap; Delaware Life, et forsikringsselskap; samt Aon, Zurich Brasil og United Healthcare Student Resources, alle fremtredende enheter innenfor sine respektive domener.

Beslutningen fra Clop-gruppen om å bruke torrenter for å spre data kan stamme fra erkjennelsen av at omfattende datadumper ofte lider av svake nedlastingshastigheter, noe som til slutt reduserer verdien oppnådd av trusselaktører når de deler informasjonen på lekkasjeplattformer.

I et forsøk på å strømlinjeforme prosessen, har gruppen gjennomtenkt gitt trinn-for-trinn-veiledning om bruk av torrent-klienter, medfølgende detaljer knyttet til omtrent 20 kompromitterte organisasjoner.

Denne manøveren er ikke det første tilfellet hvor Clop har eksperimentert med innovative tilnærminger for å forbedre tilgjengeligheten til deres dårlige data. De har tidligere etablert nettsteder på overflatenivå skreddersydd for spesifikke organisasjoner som bryter brudd, for eksempel PwC.

Ransomware-grupper utforsker kontinuerlig nye veier for å heve omdømmet sitt og utnytte angrepene deres. Et annet fokusområde for dem er å utarbeide strategier for å varsle sine ofre om bruddene.

Hvem er Clop Ransomware Group?

Clop ransomware-gruppen er en beryktet nettkriminell organisasjon kjent for å utføre høyprofilerte løsepengevareangrep mot forskjellige mål, inkludert selskaper, institusjoner og offentlige enheter. Gruppen fikk prominens for sine avanserte teknikker, aggressive taktikker og storstilte utpressingskampanjer.

Her er noen viktige punkter om Clop-ransomware-gruppen:

Opprinnelse: Clop-gruppen antas å ha dukket opp på midten av 2010-tallet. Imidlertid ble dets aktiviteter mer anerkjent de siste årene på grunn av dets engasjement i høyprofilerte angrep.

Ransomware-operasjoner: Gruppen bruker løsepengevare for å kryptere ofrenes filer og systemer, noe som gjør dem utilgjengelige inntil løsepenger er betalt. De krever ofte betydelige mengder kryptovaluta i bytte mot en dekrypteringsnøkkel.

Målrettede sektorer: Clop retter seg først og fremst mot organisasjoner innen sektorer som finans, helsevesen, teknologi og kritisk infrastruktur. Angrepene deres har påvirket selskaper over hele verden.

Lekkasjested: En av Clops karakteristiske taktikker er bruken av «lekkasjesteder». Etter å ha kryptert et offers data, truer gruppen med å frigi sensitiv informasjon hvis løsepengene ikke betales. De publiserer en del av de stjålne dataene på disse nettstedene for å presse ofrene til å følge dem.

Dobbel utpressing: Clop er kjent for å ta i bruk en "dobbel utpressing"-strategi. Dette innebærer ikke bare å kryptere ofrenes data, men også å stjele dem før kryptering. Hvis offeret nekter å betale løsepenger, truer gruppen med å frigi de stjålne dataene, noe som potensielt kan forårsake skade på omdømmet og juridisk.