Interessiert an 10,000,000 US-Dollar? Sind Sie bereit, die Clop-Ransomware-Crew auszuliefern?

Der neueste Hochkaräter Exploits im Bereich Cyberkriminalität Die der Clop-Ransomware-Crew zugeschriebenen Angriffe sind keine herkömmlichen Ransomware-Angriffe (falls „traditionell“ das richtige Wort für einen Erpressungsmechanismus ist, der erst seit 1989 existiert).

Bei herkömmlichen Ransomware-Angriffen werden Ihre Dateien verschlüsselt, Ihr Unternehmen gerät völlig aus der Bahn und es erscheint eine Meldung, dass ein Entschlüsselungsschlüssel für Ihre Daten verfügbar ist …

…für einen normalerweise atemberaubenden Betrag.

Kriminelle Entwicklung

Wie Sie sich vorstellen können, angesichts dessen Ransomware geht zurück Bis zu den Tagen, bevor jeder Zugang zum Internet hatte (und als die Datenübertragungsgeschwindigkeiten derjenigen, die online waren, nicht in Gigabits oder sogar Megabits pro Sekunde, sondern oft nur in Kilobits gemessen wurden), war die Idee, Ihre Dateien dort zu verschlüsseln, wo sie lagen, ein heimtückischer Trick Zeit sparen.

Am Ende hatten die Kriminellen die vollständige Kontrolle über Ihre Daten, ohne dass sie zuerst alles hochladen und dann die Originaldateien auf der Festplatte überschreiben mussten.

Besser noch für die Betrüger: Sie könnten Hunderte, Tausende oder sogar Millionen von Computern auf einmal angreifen und müssten nicht alle Ihre Daten behalten, in der Hoffnung, sie Ihnen „zurückzuverkaufen“. (Bevor Cloud-Speicher zu einem Verbraucherdienst wurde, war Speicherplatz für Backups teuer und konnte nicht einfach bei Bedarf sofort erworben werden.)

Ironischerweise fungieren Opfer dateiverschlüsselnder Ransomware am Ende als unwillige Gefängniswärter ihrer eigenen Daten.

Ihre Dateien bleiben verlockend in Reichweite, oft mit ihren ursprünglichen Dateinamen (allerdings mit einer zusätzlichen Erweiterung wie „ .locked am Ende hinzugefügt, um Salz in die Wunde zu streuen), aber für die Apps, die sie normalerweise öffnen würden, völlig unverständlich.

Aber in der heutigen Cloud-Computing-Welt sind Cyberangriffe, bei denen Ransomware-Gauner tatsächlich Kopien aller oder zumindest vieler Ihrer wichtigen Dateien anfertigen, nicht nur technisch möglich, sondern an der Tagesordnung.

Um es klarzustellen: In vielen, wenn nicht den meisten Fällen, verschlüsseln die Angreifer auch Ihre lokalen Dateien, weil sie es können.

Schließlich ist das gleichzeitige Verschlüsseln von Dateien auf Tausenden von Computern im Allgemeinen viel schneller als das Hochladen aller Dateien in die Cloud.

Lokale Speichergeräte stellen typischerweise eine Datenbandbreite von mehreren Gigabit pro Sekunde pro Laufwerk und Computer bereit, während viele Unternehmensnetzwerke über eine Internetverbindung von einigen hundert Megabit pro Sekunde oder sogar weniger verfügen, die von allen gemeinsam genutzt wird.

Wenn Sie alle Ihre Dateien auf allen Ihren Laptops und Servern in allen Ihren Netzwerken verschlüsseln, können die Angreifer Sie mit der Begründung erpressen, dass Ihr Unternehmen bankrott geht, wenn Sie Ihre Backups nicht rechtzeitig wiederherstellen können.

(Heutige Ransomware-Gauner geben sich oft alle Mühe, so viele Ihrer gesicherten Daten zu zerstören, wie sie finden können, bevor sie mit der Dateiverschlüsselung beginnen.)

Die erste Ebene der Erpressung lautet: „Bezahlen Sie und wir geben Ihnen die Entschlüsselungsschlüssel, die Sie benötigen, um alle Ihre Dateien genau dort zu rekonstruieren, wo sie sich auf jedem Computer befinden. Selbst wenn Sie langsame, teilweise oder gar keine Backups haben, sind Sie bald wieder einsatzbereit; Wenn Sie sich weigern zu zahlen, bleibt Ihr Geschäftsbetrieb dort liegen, wo er ist, und liegt am Boden.“

Selbst wenn die Gauner nur Zeit haben, einige Ihrer interessantesten Dateien von einigen Ihrer interessantesten Computer zu stehlen, erhalten sie dennoch ein zweites Damoklesschwert, das sie über Ihren Kopf halten können.

Diese zweite Ebene der Erpressung geht in die Richtung: „Bezahlen Sie und wir versprechen, die gestohlenen Daten zu löschen; Wenn wir uns weigern zu zahlen, werden wir nicht einfach daran festhalten, sondern wild damit umgehen.“

Die Betrüger drohen in der Regel damit, Ihre Trophäendaten an andere Kriminelle weiterzuverkaufen, sie an die Aufsichtsbehörden und die Medien in Ihrem Land weiterzuleiten oder sie einfach offen online zu veröffentlichen, damit jeder sie herunterladen und verschlingen kann.

Vergessen Sie die Verschlüsselung

Bei einigen Cyber-Erpressungsangriffen überspringen Kriminelle, die Ihre Daten bereits gestohlen haben, entweder den Teil der Dateiverschlüsselung oder sind nicht in der Lage, ihn durchzuziehen.

In diesem Fall werden die Opfer letztendlich nur deshalb erpresst, weil sie die Betrüger zum Schweigen bringen, und nicht, weil sie ihre Dateien zurückbekommen, um ihr Geschäft wieder in Gang zu bringen.

Das scheint bei der jüngsten Hochkarätigkeit passiert zu sein MOVEit-Angriffe, wo die Clop-Bande oder ihre Verbündeten von einer ausnutzbaren Zero-Day-Sicherheitslücke in der Software MOVEit wussten …

… dabei geht es einfach nur um das Hochladen, Verwalten und sichere Teilen von Unternehmensdaten, einschließlich einer Komponente, mit der Benutzer über nichts Komplexeres als ihren Webbrowser auf das System zugreifen können.

Leider bestand die Zero-Day-Lücke im webbasierten Code von MOVEit, sodass jeder, der den webbasierten Zugriff aktiviert hatte, seine Unternehmensdateidatenbanken versehentlich aus der Ferne eingeschleusten SQL-Befehlen aussetzte.

---

---

Offenbar besteht inzwischen der Verdacht, dass bei mehr als 130 Unternehmen Daten gestohlen wurden, bevor der Zero-Day-Angriff von MOVEit entdeckt und gepatcht wurde.

Bei vielen der Opfer handelt es sich offenbar um Mitarbeiter, deren Gehaltsabrechnungsdaten manipuliert und gestohlen wurden – nicht weil ihr eigener Arbeitgeber MOVEit-Kunde war, sondern weil der ausgelagerte Lohnabrechnungsverarbeiter ihres Arbeitgebers einer war und ihre Daten aus der Gehaltsabrechnungsdatenbank dieses Anbieters gestohlen wurden.

Darüber hinaus scheint es, dass zumindest einige der auf diese Weise gehackten Organisationen (sei es direkt über ihr eigenes MOVEit-Setup oder indirekt über einen ihrer Dienstanbieter) US-amerikanische öffentliche Einrichtungen waren.

Belohnungen zu gewinnen

Diese Kombination von Umständen führte dazu, dass das Team der US-amerikanischen Rewards for Justice (RFJ), Teil des US-Außenministeriums (das Äquivalent Ihres Landes könnte den Namen „Foreign Affairs“ oder „Außenministerium“ tragen), alle auf Twitter wie folgt daran erinnerte:

Die RFJs eigene Website sagt, wie im obigen Tweet zitiert:

Rewards for Justice setzt eine Belohnung von bis zu 10 Millionen US-Dollar für Informationen aus, die zur Identifizierung oder zum Standort einer Person führen, die, während sie auf Anweisung oder unter der Kontrolle einer ausländischen Regierung handelt, an böswilligen Cyberaktivitäten gegen kritische US-Infrastrukturen teilnimmt, die einen Verstoß darstellen des Computer Fraud and Abuse Act (CFAA).

Es ist nicht klar, ob Informanten am Ende mehrere Vielfache von 10,000,000 US-Dollar erhalten könnten, wenn sie mehrere Straftäter identifizieren, und jede Belohnung wird mit „bis zu“ 10 Millionen US-Dollar und nicht jedes Mal mit unverwässerten 10 Millionen US-Dollar angegeben …

…aber es wird interessant sein zu sehen, ob sich jemand dazu entschließt, das Geld einzufordern.

---

• SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
• PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
• PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
• PlatoESG. Automobil / Elektrofahrzeuge, Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
• BlockOffsets. Modernisierung des Eigentums an Umweltkompensationen. Hier zugreifen.
• Quelle: https://nakedsecurity.sophos.com/2023/06/28/interested-in-10000000-ready-to-turn-in-the-clop-ransomware-crew/