Clop Ransomware Gang używa torrentów do wycieku skradzionych danych

Syndykat ransomware Clop zainicjował nowatorskie podejście, udostępniając skradzione dane z ataków MOVEit za pośrednictwem torrentów, jak wskazują ostatnie raporty.

Analityk bezpieczeństwa Dominic Alvieri ujawnił ten rozwój na Twitterze, udostępniając zrzuty ekranu przedstawiające kilka prominentnych ofiar, których naruszone informacje są obecnie rozpowszechniane przez sieci udostępniania peer-to-peer (P2P).

Godne uwagi nazwiska wśród podmiotów, których to dotyczy, to Putnam, firma inwestycyjna; Iron Bow Technologies, firma technologiczna; Delaware Life, firma ubezpieczeniowa; a także Aon, Zurich Brazil i United Healthcare Student Resources, wszystkie znane podmioty w swoich domenach.

Decyzja grupy Clop o wykorzystaniu torrentów do rozpowszechniania danych może wynikać z uznania, że duże zrzuty danych często cierpią z powodu powolnych prędkości pobierania, co ostatecznie zmniejsza wartość uzyskiwaną przez cyberprzestępców, gdy udostępniają informacje na platformach służących do wycieku.

Aby usprawnić ten proces, grupa starannie przedstawiła wskazówki krok po kroku dotyczące korzystania z klientów torrent, wraz ze szczegółami dotyczącymi około 20 organizacji, które zostały naruszone.

Ten manewr nie jest pierwszym przypadkiem, w którym Clop eksperymentował z innowacyjnymi podejściami w celu zwiększenia dostępności nielegalnie zdobytych danych. Wcześniej utworzyli powierzchowne strony internetowe dostosowane do konkretnych organizacji, które zostały naruszone, takich jak PwC.

Grupy ransomware nieustannie odkrywają nowe możliwości, aby podnieść swoją reputację i wykorzystać swoje ataki. Innym obszarem, na którym się skupiają, jest opracowywanie strategii powiadamiania ofiar o naruszeniach.

Kim jest grupa Clop Ransomware?

Grupa Clop ransomware to znana organizacja cyberprzestępcza znana z przeprowadzania głośnych ataków ransomware na różne cele, w tym korporacje, instytucje i jednostki rządowe. Grupa zyskała rozgłos dzięki zaawansowanym technikom, agresywnej taktyce i kampaniom wymuszeń na dużą skalę.

Oto kilka kluczowych punktów dotyczących grupy ransomware Clop:

Pochodzenie: uważa się, że grupa Clop pojawiła się w połowie 2010 roku. Jednak jego działalność stała się szerzej znana w ostatnich latach ze względu na udział w głośnych atakach.

Operacje ransomware: grupa wykorzystuje oprogramowanie ransomware do szyfrowania plików i systemów ofiar, uniemożliwiając dostęp do nich do momentu zapłacenia okupu. Często żądają znacznych kwot kryptowaluty w zamian za klucz deszyfrujący.

Sektory docelowe: Clop jest skierowany przede wszystkim do organizacji z sektorów takich jak finanse, opieka zdrowotna, technologia i infrastruktura krytyczna. Ich ataki dotknęły firmy na całym świecie.

Miejsce wycieku: Jedną z charakterystycznych taktyk Clopa jest wykorzystanie „miejsc wycieku”. Po zaszyfrowaniu danych ofiary grupa grozi ujawnieniem poufnych informacji, jeśli okup nie zostanie zapłacony. Publikują część skradzionych danych na tych stronach internetowych, aby wymusić na ofiarach przestrzeganie zasad.

Podwójne wymuszenie: Clop jest znany z przyjęcia strategii „podwójnego wymuszenia”. Obejmuje to nie tylko szyfrowanie danych ofiar, ale także ich kradzież przed zaszyfrowaniem. Jeśli ofiara odmówi zapłacenia okupu, grupa grozi ujawnieniem skradzionych danych, co może spowodować szkody wizerunkowe i prawne.