Η ουκρανική επιβολή του νόμου συνέλαβε εγκληματίες στον κυβερνοχώρο που συνδέονται με τη συμμορία Clop ransomware και έκλεισε την υποδομή που χρησιμοποιήθηκε σε επιθέσεις που στοχεύουν θύματα παγκοσμίως από τουλάχιστον το 2019.
Δείτε επίσης: Ransomware: Οι περισσότερες εταιρείες δέχονται και δεύτερη επίθεση αν πληρώσουν λύτρα
Σύμφωνα με το Τμήμα Cyberpolice της Εθνικής Αστυνομίας της Ουκρανίας, ο όμιλος ransomware βρίσκεται πίσω από συνολικές οικονομικές ζημίες ύψους περίπου 500 εκατομμυρίων δολαρίων.
Με βάση το δελτίο τύπου της ουκρανικής αστυνομίας, δεν είναι ακόμη σαφές εάν τα άτομα που έχουν συλληφθεί είναι συνεργάτες ή βασικά μέλη της επιχείρησης ransomware.
Οι κυβερνοεγκληματίες συνελήφθησαν μετά από διεθνή επιχείρηση που έγινε σε συνεργασία με αξιωματικούς επιβολής του νόμου από τις Ηνωμένες Πολιτείες και τη Δημοκρατία της Κορέας.
Δείτε επίσης: Το REVIL ransomware χτυπά την εταιρεία πυρηνικών όπλων Sol Oriens
Εκτός από τις επιθέσεις encrypting, η συμμορία Clop ransomware συνδέθηκε με το πρόσφατο κύμα παραβιάσεων δεδομένων Accellion που οδήγησε σε δραστική αύξηση των μέσων πληρωμών λύτρων που υπολογίστηκαν για τους πρώτους τρεις μήνες του 2021.
Ενώ ως μέρος των τακτικών επιθέσεων ransomware είναι κρυπτογραφημένα τα δεδομένα των θυμάτων, οι επιθέσεις του Clop δεν κρυπτογράφησαν ούτε ένα byte, αλλά αντίθετα έκαναν exfiltrate μεγάλες ποσότητες δεδομένων από εταιρείες υψηλού προφίλ που χρησιμοποιούσαν το παλαιό εργαλείο μεταφοράς αρχείων (FTA) του Accellion.
Η συμμορία χρησιμοποίησε τα κλεμμένα δεδομένα ως μόχλευση για να εκβιάσει τις παραβιασμένες εταιρείες με υψηλές απαιτήσεις λύτρων.
Ξεκινώντας από τον Ιανουάριο, το BleepingComputer ανέφερε επιθέσεις Clop που κακοποιούν το Accellion για παραβιάσεις:
- Shell, Qyysecurity, Qualys,
- Kroger,
- η Τράπεζα της Νέας Ζηλανδίας,
- Singtel,
- η Αυστραλιανή Επιτροπή Κινητών Αξιών και Επενδύσεων (ASIC),
- το γραφείο του κρατικού ελεγκτή της Ουάσιγκτον (“SAO”),
- καθώς και πολλά πανεπιστήμια και άλλους οργανισμούς.
Επίσης, η συμμορία Clop ισχυρίστηκε ότι έχει κλέψει 2 εκατομμύρια πιστωτικές κάρτες από τους κορεάτες λιανοπωλητές E-Land χρησιμοποιώντας point-of-sale (POS) malware προτού αναπτύξει ransomware στο δίκτυό τους ένα χρόνο αργότερα, τον Νοέμβριο του 2020.
Δείτε επίσης: G7 προς Ρωσία: Ασχοληθείτε με τις συμμορίες ransomware που βρίσκονται στην χώρα
Προηγουμένως, το Clop ransomware ήταν πίσω από επιθέσεις στο Πανεπιστήμιο του Μάαστριχτ, το λογισμικό AG IT, το ExecuPharm και το Indiabulls.
Ο ιστότοπος πληρωμών Tor και ο ιστότοπος διαρροής δεδομένων του Clop εξακολουθούν να λειτουργούν, οπότε φαίνεται ότι η λειτουργία Clop ransomware δεν έχει τερματιστεί εντελώς αυτή τη στιγμή.
Πηγή πληροφοριών: bleepingcomputer.com
