Clop Ransomware Gang gebruikt torrents om gestolen gegevens te lekken
Het Clop ransomware-syndicaat heeft een nieuwe aanpak geïnitieerd door gestolen gegevens van MOVEit-aanvallen toegankelijk te maken via torrents, zoals recente rapporten aangeven.
Beveiligingsanalist Dominic Alvieri maakte deze ontwikkeling bekend op Twitter en deelde screenshots die verschillende prominente slachtoffers onder de aandacht brachten wier gecompromitteerde informatie nu wordt verspreid via peer-to-peer (P2P) deelnetwerken.
Opmerkelijke namen in de lijst van getroffen entiteiten zijn Putnam, een beleggingsonderneming; Iron Bow Technologies, een technologiebedrijf; Delaware Life, een verzekeringsmaatschappij; evenals Aon, Zürich, Brazilië en United Healthcare Student Resources, alle prominente entiteiten binnen hun respectieve domeinen.
De beslissing van de Clop-groep om torrents te gebruiken voor het verspreiden van gegevens, zou kunnen voortkomen uit de erkenning dat uitgebreide datadumps vaak te lijden hebben onder trage downloadsnelheden, wat uiteindelijk de waarde vermindert die wordt verkregen door bedreigingsactoren wanneer ze de informatie op lekplatforms delen.
In een poging het proces te stroomlijnen, heeft de groep zorgvuldig stapsgewijze begeleiding geboden bij het gebruik van torrent-clients, met bijbehorende details met betrekking tot ongeveer 20 gecompromitteerde organisaties.
Deze manoeuvre is niet de eerste keer dat Clop heeft geëxperimenteerd met innovatieve benaderingen om de toegankelijkheid van hun onrechtmatig verkregen gegevens te verbeteren. Ze hebben eerder websites op oppervlakteniveau opgezet die zijn toegesneden op specifieke gehackte organisaties, zoals PwC.
Ransomware-groepen verkennen voortdurend nieuwe wegen om hun reputatie te verbeteren en te profiteren van hun aanvallen. Een ander aandachtsgebied voor hen is het bedenken van strategieën om hun slachtoffers op de hoogte te stellen van de inbreuken.
Wie is de Clop Ransomware Groep?
De Clop-ransomwaregroep is een beruchte cybercriminele organisatie die bekend staat om het uitvoeren van spraakmakende ransomware-aanvallen op verschillende doelen, waaronder bedrijven, instellingen en overheidsinstanties. De groep kreeg bekendheid door zijn geavanceerde technieken, agressieve tactieken en grootschalige afpersingscampagnes.
Hier zijn enkele belangrijke punten over de Clop ransomware-groep:
Oorsprong: Aangenomen wordt dat de Clop-groep halverwege de jaren 2010 is ontstaan. Zijn activiteiten kregen de afgelopen jaren echter meer erkenning vanwege zijn betrokkenheid bij spraakmakende aanvallen.
Ransomware-operaties: de groep gebruikt ransomware om de bestanden en systemen van slachtoffers te versleutelen, waardoor ze ontoegankelijk worden totdat er losgeld is betaald. Ze vragen vaak aanzienlijke hoeveelheden cryptocurrency in ruil voor een decoderingssleutel.
Gerichte sectoren: Clop richt zich voornamelijk op organisaties in sectoren zoals financiën, gezondheidszorg, technologie en kritieke infrastructuur. Hun aanvallen hebben wereldwijd bedrijven getroffen.
Leksite: een van de onderscheidende tactieken van Clop is het gebruik van 'leksites'. Na het versleutelen van de gegevens van een slachtoffer, dreigt de groep gevoelige informatie vrij te geven als het losgeld niet wordt betaald. Ze publiceren een deel van de gestolen gegevens op deze websites om slachtoffers onder druk te zetten.
Dubbele afpersing: Clop staat erom bekend een strategie van "dubbele afpersing" toe te passen. Dit omvat niet alleen het versleutelen van de gegevens van de slachtoffers, maar ook het stelen ervan voordat ze versleuteld worden. Als het slachtoffer weigert het losgeld te betalen, dreigt de groep de gestolen gegevens vrij te geven, wat kan leiden tot reputatieschade en juridische schade.
