Το Clop διαρρέει πλέον δεδομένα που έχουν κλαπεί σε επιθέσεις MOVEit σε ιστοτόπους clearweb
Η συμμορία
ransomware
Clop αντιγράφει μια τακτική εκβιασμού συμμοριών ransomware ALPHV δημιουργώντας ιστοσελίδες προσβάσιμες στο Διαδίκτυο αφιερωμένες σε συγκεκριμένα θύματα, διευκολύνοντας τη διαρροή κλεμμένων δεδομένων και πιέζοντας περαιτέρω τα θύματα να πληρώσουν λύτρα.
Όταν μια συμμορία ransomware επιτίθεται σε έναν εταιρικό στόχο, πρώτα κλέβει δεδομένα από το δίκτυο και στη συνέχεια κρυπτογραφεί αρχεία. Αυτά τα κλεμμένα δεδομένα χρησιμοποιούνται ως μόχλευση σε επιθέσεις διπλού εκβιασμού, προειδοποιώντας τα θύματα ότι τα δεδομένα θα διαρρεύσουν εάν δεν πληρωθούν λύτρα.
Οι ιστότοποι διαρροής δεδομένων ransomware βρίσκονται συνήθως στο δίκτυο Tor, καθώς δυσκολεύει την κατάργηση του ιστότοπου ή την κατάσχεση της υποδομής τους από τις αρχές επιβολής του νόμου.
Ωστόσο, αυτή η μέθοδος φιλοξενίας έχει τα δικά της προβλήματα για τους χειριστές ransomware, καθώς απαιτείται εξειδικευμένο πρόγραμμα περιήγησης Tor για πρόσβαση στους ιστότοπους, οι μηχανές αναζήτησης δεν ευρετηριάζουν τα δεδομένα που διέρρευσαν και οι ταχύτητες λήψης είναι συνήθως πολύ αργές.
Για να ξεπεραστούν αυτά τα εμπόδια, πέρυσι, η επιχείρηση ransomware ALPHV, γνωστή και ως BlackCat, εισήγαγε μια νέα τακτική εκβιασμού για τη δημιουργία ιστοσελίδων clearweb για τη διαρροή κλεμμένων δεδομένων που προωθήθηκαν ως ένας τρόπος για τους υπαλλήλους να ελέγξουν εάν τα δεδομένα τους διέρρευσαν.
Ένας ιστότοπος clearweb φιλοξενείται απευθείας στο Διαδίκτυο και όχι σε ανώνυμα δίκτυα όπως το Tor, στα οποία απαιτείται ειδικό λογισμικό για πρόσβαση.
Αυτή η νέα μέθοδος διευκολύνει την πρόσβαση στα δεδομένα και πιθανότατα θα προκαλέσει την ευρετηρίασή τους από τις μηχανές αναζήτησης, επεκτείνοντας περαιτέρω τη διάδοση των πληροφοριών που διέρρευσαν.
Η συμμορία Clop ransomware υιοθετεί τακτική
Την περασμένη Τρίτη, ερευνητής ασφάλειας
Ντόμινικ Αλβιέρι
είπε στο BleepingComputer ότι η συμμορία ransomware Clop είχε αρχίσει να δημιουργεί ιστοτόπους clearweb για να διαρρεύσει δεδομένα που είχαν κλαπεί κατά τη διάρκεια των πρόσφατων και εκτεταμένων επιθέσεων κλοπής δεδομένων MOVEit Transfer.
Ο πρώτος ιστότοπος που δημιουργήθηκε από τους παράγοντες απειλών ήταν για την εταιρεία συμβούλων επιχειρήσεων PWC, δημιουργώντας έναν ιστότοπο που διέρρευσε τα κλεμμένα δεδομένα της εταιρείας σε τέσσερα αρχεία ZIP.
Κανένας από τους ιστότοπους του Clop δεν είναι τόσο εξελιγμένος όσο αυτοί που δημιουργήθηκαν από την ALPHV πέρυσι, καθώς απαριθμούν απλώς συνδέσμους για λήψη των δεδομένων αντί να έχουν μια βάση δεδομένων με δυνατότητα αναζήτησης όπως οι ιστότοποι της BlackCat.
Ο ιστότοπος Clearweb δημιουργήθηκε για τη διαρροή δεδομένων PWC
Πηγή: BleepingComputer
Χάσιμο χρόνου?
Αυτοί οι ιστότοποι στοχεύουν να τρομάξουν τους υπαλλήλους, τα στελέχη και τους επιχειρηματικούς εταίρους που μπορεί να έχουν επηρεαστεί από τα κλεμμένα δεδομένα, ελπίζοντας ότι θα ασκήσουν περαιτέρω πίεση σε μια εταιρεία να πληρώσει τα λύτρα.
Ωστόσο, ενώ μπορεί να υπάρχουν κάποια οφέλη από τη διαρροή δεδομένων με αυτόν τον τρόπο, έρχονται επίσης με τα δικά τους προβλήματα, καθώς η τοποθέτηση τους στο Διαδίκτυο και όχι στο Tor, τα κάνει πολύ πιο εύκολα να τα αφαιρέσετε.
Αυτή τη στιγμή, όλες οι γνωστές τοποθεσίες εκβιασμού Clop clearweb έχουν τεθεί εκτός σύνδεσης.
Δεν είναι σαφές εάν αυτοί οι ιστότοποι είναι εκτός λειτουργίας λόγω κατασχέσεων από τις αρχές επιβολής του νόμου, επιθέσεων
DDoS
από εταιρείες κυβερνοασφάλειας ή παρόχων φιλοξενίας και καταχωρητών που έκλεισαν τους ιστότοπους.
Λόγω της ευκολίας με την οποία μπορούν να κλείσουν, είναι αμφίβολο ότι αυτή η τακτική εκβιασμού αξίζει τον κόπο.
