Αναμένεται ότι η συμμορία ransomware Clop θα κερδίσει περίπου 75-100 εκατομμύρια δολάρια από τον εκβιασμό των θυμάτων της, στα πλαίσια της τεράστιας εκστρατείας κλοπής δεδομένων μέσω της ευπάθειας στην πλατφόρμα MOVEit.
Σε μια νέα έκθεση, η Coveware εξηγεί ότι ο αριθμός των θυμάτων που πληρώνουν λύτρα έχει μειωθεί σημαντικά. Αυτό αναγκάζει τις συμμορίες ransomware να προσαρμόσουν τις στρατηγικές τους για να καταστήσουν τις επιθέσεις τους πιο κερδοφόρες.
Η Coveware εξηγεί ότι υπάρχουν διάφορες επιθέσεις εκβιασμού με διαφορετικά opportunity costs. Αυτό το κόστος προκύπτει από τον βαθμό δυσκολίας και τις επενδύσεις που απαιτούνται για τη διεξαγωγή μιας επίθεσης, σε σύγκριση με το αναμενόμενο ποσό λύτρων.
Δείτε επίσης: Οι πελάτες του MOVEit Transfer προειδοποιούνται να επιδιορθώσουν ένα νέο, κρίσιμο ελάττωμα
Το διάγραμμα που ακολουθεί απεικονίζει τη σχέση μεταξύ του αντίκτυπου στο θύμα και του κόστους (χρόνος, προσπάθεια και επένδυση) που απαιτείται για την εκτέλεση μιας επίθεσης (κόστος για τον επιτιθέμενο). Στον κατακόρυφο άξονα αναπαρίσταται ο αντίκτυπος στο θύμα, ενώ στον οριζόντιο άξονα παρουσιάζεται το κόστος του παράγοντα απειλής.
Το γράφημα δείχνει ότι οι επιθέσεις εκβιασμού με χαμηλή πολυπλοκότητα και χρήση αυτοματισμού έχουν μικρότερο αντίκτυπο στα θύματα, ενώ και το κόστος για τους επιτιθέμενους είναι λιγότερο. Για επιθέσεις σαν αυτές, οι απαιτήσεις για λύτρα κυμαίνονται συνήθως από μερικές εκατοντάδες δολάρια έως χιλιάδες δολάρια. Οι επιτιθέμενοι ελπίζουν ότι θα συγκεντρώσουν αρκετά χρήματα αν πληρώσουν πολλά θύματα.
Ωστόσο, πιο περίπλοκες και χρονοβόρες επιθέσεις με πιο σημαντικό αντίκτυπο στα θύματα, δημιουργούν πολύ μεγαλύτερες απαιτήσεις για λύτρα (μπορεί και εκατομμύρια).
Clop ransomware: Η συμμορία αλλάζει τακτική καθώς μειώνονται οι πληρωμές
Στις 27 Μαΐου, η συμμορία ransomware Clop ξεκίνησε εκτεταμένες επιθέσεις κλοπής δεδομένων, μέσω της χρήσης μιας ευπάθειας zero-day στην πλατφόρμα μεταφοράς αρχείων MOVEit Transfer.
Δείτε επίσης: Επιθέσεις MOVEit: Η Siemens Energy επιβεβαίωσε παραβίαση δεδομένων
Αυτές οι επιθέσεις αναμένεται να επηρεάσουν εκατοντάδες εταιρείες σε όλο τον κόσμο. Πολλές μεγάλες εταιρείες έχουν ήδη αναφέρει ότι υπήρξαν θύματα και έχουν ενημερώσει τους πελάτες τους για παραβίαση δεδομένων.
Ωστόσο, η Coveware λέει ότι οι επιθέσεις εκβιασμού που επικεντρώνονται μόνο στην κλοπή δεδομένων έχουν μειώσει τις πληρωμές, με τα θύματα να αποκαλύπτουν τις επιθέσεις και να εκδίδουν ειδοποιήσεις παραβίασης δεδομένων παρά να πληρώνουν τους παράγοντες της απειλής.
Η Coveware λέει ότι η Clop άλλαξε τη στρατηγική της και πλέον ζητά πολλά περισσότερα χρήματα, ελπίζοντας ότι ακόμα και αν πληρώσουν λίγα θύματα, θα καταφέρει να έχει σημαντικό κέρδος.
Σύμφωνα με την εκτίμηση της Coveware, μόνο μερικά θύματα των επιθέσεων MOVEit είναι πιθανό να πληρώσουν. Ωστόσο, αναμένεται ότι η ransomware ομάδα Clop θα συγκεντρώσει ένα εντυπωσιακό ποσό της τάξης των 75-100 εκατομμυρίων δολαρίων μόνο από αυτές τις πληρωμές.
“Είναι πιθανό η ομάδα CloP να κερδίσει 75-100 εκατομμύρια δολάρια μόνο από την καμπάνια MOVEit, με αυτό το ποσό να προέρχεται από μια μικρή μερίδα θυμάτων που υπέκυψαν σε πολύ υψηλές πληρωμές“, εξηγεί η Coveware.
Ο Διευθύνων Σύμβουλος της Coveware, Bill Siegel, είπε στο BleepingComputer ότι η επιτυχία της ransomware συμμορίας Clop σε αυτές τις επιθέσεις είναι σημαντικά μεγαλύτερη από τις πρόσφατες επιθέσεις GoAnywhere. Σε εκείνες τις επιθέσεις, η ομάδα παραβίασε 130 θύματα και έλαβε λύτρα από λίγα μόνο θύματα.
Δείτε επίσης: MOVEit: Hacker κλέβουν δεδομένα 45.000 μαθητών της Νέας Υόρκης
Οι επιθέσεις MOVEit οδήγησαν στην παραβίαση πολλών περισσότερων εταιρειών, και με τα λύτρα που έχουν ζητήσει οι hackers μπορούν να κερδίσουν πολλά χρήματα, ακόμα και αν οι περισσότερες εταιρείες αποφασίσουν να μην πληρώσουν.
Στις αρχές Ιουνίου, η ransomware συμμορία Clop δήλωσε στο BleepingComputer ότι βρίσκεται πίσω από τις επιθέσεις κλοπής δεδομένων MOVEit Transfer. Ο εκπρόσωπος της Clop είχε πει ακόμα ότι η ομάδα είχε αρχίσει να εκμεταλλεύεται την ευπάθεια στις 27 Μαΐου, κατά τη διάρκεια της μεγάλης αργίας Memorial Day στις ΗΠΑ. Η επιχείρηση Clop ransomware είναι γνωστό ότι συνήθως πραγματοποιεί επιθέσεις κατά τη διάρκεια των διακοπών, όπου το προσωπικό είναι ελάχιστο. Για παράδειγμα, εκμεταλλεύτηκε μια παρόμοια ευπάθεια zero-day του Accellion FTA στις 23 Δεκεμβρίου 2020, για να κλέψει δεδομένα ακριβώς στην αρχή των διακοπών των Χριστουγέννων.
Πηγή: www.bleepingcomputer.com