Ερευνητές ασφαλείας από την NCC Group αναφέρουν ότι η συμμορία πίσω από το Clop ransomware επέστρεψε μετά από μήνες απουσίας. Οι hackers είχαν σταματήσει τις επιχειρήσεις τους από τον περασμένο Νοέμβριο μέχρι το Φεβρουάριο. Τώρα, όμως, φαίνεται πως επέστρεψαν δυναμικά, στοχεύοντας δεκάδες θύματα σε μόλις ένα μήνα.
Το ransomware άρχισε να χρησιμοποιείται σταδιακά σε επιθέσεις (το Μάρτιο), αλλά λίγο αργότερα παρατηρήθηκε σημαντική αύξηση στη δραστηριότητά του. Σύμφωνα με τους ερευνητές, η συμμορία πρόσθεσε 21 νέα θύματα στον ιστότοπο διαρροής δεδομένων της, μέσα σε έναν μόνο μήνα, τον Απρίλιο.
Δείτε επίσης: Ποια είναι τα τρωτά σημεία της πλατφόρμας OAS
“Υπήρξαν αξιοσημείωτες διακυμάνσεις τον Απρίλιο. Ενώ το Lockbit 2.0 (103 θύματα) και το Conti (45 θύματα) παραμένουν οι πιο παραγωγικοί παράγοντες απειλών, τα θύματα του CL0P αυξήθηκαν μαζικά, από 1 σε 21“, είπε η NCC Group.
Η συμμορία πίσω από το Clop ransomware φαίνεται να στοχεύει κυρίως εταιρείες που εντάσσονται στον βιομηχανικό τομέα (45% των επιθέσεων), αλλά και εταιρείες τεχνολογίας (27%).
Εξαιτίας αυτού, ο ειδικός Matt Hull από την NCC Group προειδοποίησε τους οργανισμούς σε αυτούς τους κλάδους να είναι προετοιμασμένοι καθώς είναι πιθανό να είναι ο επόμενος στόχος αυτής της συμμορίας.
Ωστόσο, παρά το γεγονός ότι η ομάδα ransomware έχει διαρρεύσει δεδομένα για τουλάχιστον 20 θύματα, η συμμορία δεν φαίνεται πολύ ενεργή με βάση τον αριθμό των υποβολών στην υπηρεσία ID Ransomware.
Δείτε επίσης: BlackCat/ALPHV ransomware: Ζητά 5 εκατ. $ για να ξεκλειδώσει την Carinthia
Μήπως η διαρροή δεδομένων σχετίζεται με οριστικό τερματισμό των επιχειρήσεων;
Ενώ ορισμένα από τα πρόσφατα θύματα επιβεβαιώνεται ότι είναι νέες επιθέσεις, υπάρχει μια θεωρία που υποστηρίζει ότι η ransomware συμμορία Clop σχεδιάζει να τερματίσει οριστικά τη λειτουργία της, μετά από μήνες απουσίας. Ως μέρος αυτής της διαδικασίας, η συμμορία ransomware πιθανότατα θα δημοσιεύσει τα δεδομένα όλων των προηγούμενων θυμάτων που δεν είχαν δημοσιευτεί στο παρελθόν.
Κάτι παρόμοιο φαίνεται να κάνει τώρα και η ransomware συμμορία Conti.
Όπως είπαμε, κάποια από τα θύματα στη λίστα των hackers έχουν επιβεβαιώσει ότι οι επιθέσεις έγιναν πρόσφατα. Για τα υπόλοιπα θα επιβεβαιωθεί αν δημοσιεύσουν ειδοποιήσεις παραβίασης.
Λίγα λόγια για τη ransomware συμμορία Clop
Η απουσία επιθέσεων από το Clop ransomware σχετίζεται σε μεγάλο βαθμό με το κλείσιμο ορισμένων υποδομών της συμμορίας τον Ιούνιο του 2021, μετά από μια συντονισμένη επιχείρηση από αρχές επιβολής του νόμου από όλο τον κόσμο.
Έξι άτομα που είναι ύποπτα για ξέπλυμα χρήματος και παροχή υπηρεσιών εξαργύρωσης για τη ransomware συμμορία Clop συνελήφθησαν από τις ουκρανικές αρχές μετά από 21 έρευνες σε σπίτια στην περιοχή του Κιέβου.
Δείτε επίσης: Η Microsoft λανσάρει security defaults σε χρήστες Azure Active Directory (AD)
Η ομάδα στοχεύει θύματα σε όλο τον κόσμο τουλάχιστον από το 2019. Μερικά από τα θύματά της περιλαμβάνουν το Πανεπιστήμιο του Μάαστριχτ, τη Software AG IT, την ExecuPharm και την Indiabulls. Η συμμορία Clop έχει συνδεθεί επίσης με μια σειρά παραβιάσεων δεδομένων που σχετίζονταν με ευπάθεια σε σύστημα της Accellion.
Στις επιθέσεις της Accellion, οι χειριστές του Clop ransomware έκλεψαν μεγάλες ποσότητες δεδομένων από εταιρείες υψηλού προφίλ χρησιμοποιώντας το παλαιού τύπου File Transfer Appliance (FTA) της Accellion. Η συμμορία αργότερα χρησιμοποίησε αυτά τα κλεμμένα δεδομένα για να εκβιάσει τις παραβιασμένες εταιρείες, αναγκάζοντάς τις να πληρώσουν λύτρα για να μην διαρρεύσουν τα δεδομένα τους στο διαδίκτυο.
Πηγή: www.bleepingcomputer.com