Intéressé par 10,000,000 XNUMX XNUMX $ ? Prêt à rendre l'équipe du rançongiciel Clop ?

Intéressé par 10,000,000 XNUMX XNUMX $ ? Prêt à rendre l'équipe du rançongiciel Clop ?

Horodatage: 28 juin 2023 12:59
Interested in $10,000,000? Ready to turn in the Clop ransomware crew? PlatoBlockchain Data Intelligence. Vertical Search. Ai.
by Écrivain Naked Security

Le dernier haut profil exploits de cybercriminalité attribués à l'équipe de rançongiciels Clop ne sont pas votre type traditionnel d'attaques de rançongiciels (si "traditionnel" est le bon mot pour un mécanisme d'extorsion qui ne remonte qu'à 1989).

Les attaques de rançongiciels conventionnels sont l'endroit où vos fichiers sont brouillés, votre entreprise est totalement déraillée et un message apparaît vous indiquant qu'une clé de déchiffrement de vos données est disponible...

… pour ce qui est généralement une somme d'argent exorbitante.

Évolution criminelle

Comme vous pouvez l'imaginer, étant donné que le ransomware revient à l'époque où tout le monde avait accès à Internet (et quand ceux qui étaient en ligne avaient des vitesses de transfert de données mesurées non pas en gigabits ou même en mégabits par seconde, mais souvent simplement en kilobits), l'idée de brouiller vos fichiers là où ils se trouvaient était une astuce ignoble pour gagner du temps.

Les criminels se sont retrouvés avec un contrôle total sur vos données, sans avoir besoin de tout télécharger d'abord, puis d'écraser les fichiers originaux sur le disque.

Mieux encore pour les escrocs, ils pouvaient s'attaquer à des centaines, des milliers voire des millions d'ordinateurs à la fois, et ils n'avaient pas besoin de conserver toutes vos données dans l'espoir de vous les « revendre ». (Avant que le stockage dans le cloud ne devienne un service grand public, l'espace disque pour la sauvegarde était coûteux et ne pouvait pas être facilement acquis à la demande en un instant.)

Ironiquement, les victimes de rançongiciels de cryptage de fichiers finissent par agir comme des gardiens de prison involontaires de leurs propres données.

Leurs fichiers sont laissés à portée de main, souvent avec leurs noms de fichiers d'origine (bien qu'avec une extension supplémentaire telle que .locked ajouté à la fin pour frotter le sel dans la plaie), mais totalement inintelligible pour les applications qui les ouvriraient habituellement.

Mais dans le monde du cloud computing d'aujourd'hui, les cyberattaques où les escrocs de rançongiciels prennent en fait des copies de tous, ou du moins de plusieurs, de vos fichiers vitaux ne sont pas seulement techniquement possibles, elles sont courantes.

Juste pour être clair, dans de nombreux cas, sinon la plupart, les attaquants brouillent également vos fichiers locaux, car ils le peuvent.

Après tout, brouiller des fichiers sur des milliers d'ordinateurs simultanément est généralement beaucoup plus rapide que de les télécharger tous sur le cloud.

Les périphériques de stockage locaux fournissent généralement une bande passante de données de plusieurs gigabits par seconde par lecteur et par ordinateur, alors que de nombreux réseaux d'entreprise disposent d'une connexion Internet de quelques centaines de mégabits par seconde, voire moins, partagée entre tous.

Brouiller tous vos fichiers sur tous vos ordinateurs portables et serveurs sur tous vos réseaux signifie que les attaquants peuvent vous faire chanter sur la base de la faillite de votre entreprise si vous ne pouvez pas récupérer vos sauvegardes à temps.

(Les escrocs de rançongiciels d'aujourd'hui font souvent tout leur possible pour détruire autant de vos données sauvegardées qu'ils peuvent trouver avant de faire la partie de brouillage des fichiers.)

La première couche de chantage dit, « Payez et nous vous donnerons les clés de décryptage dont vous avez besoin pour reconstruire tous vos fichiers là où ils se trouvent sur chaque ordinateur, donc même si vous avez des sauvegardes lentes, partielles ou inexistantes, vous serez bientôt opérationnel à nouveau ; refusez de payer et vos opérations commerciales resteront là où elles sont, mortes dans l'eau.

En même temps, même si les escrocs n'ont que le temps de voler certains de vos fichiers les plus intéressants sur certains de vos ordinateurs les plus intéressants, ils obtiennent néanmoins une deuxième épée de Damoclès à tenir au-dessus de votre tête.

Cette deuxième couche de chantage va dans le sens de, « Payez et nous promettons de supprimer les données volées ; refuser de payer et nous ne nous contenterons pas de le conserver, nous nous déchaînerons avec lui.

Les escrocs menacent généralement de vendre vos données de trophées à d'autres criminels, de les transmettre aux régulateurs et aux médias de votre pays, ou simplement de les publier ouvertement en ligne pour que tout le monde puisse les télécharger et se gaver.

Oubliez le cryptage

Dans certaines attaques de cyberextorsion, les criminels qui ont déjà volé vos données ignorent la partie de brouillage des fichiers ou ne sont pas en mesure de s'en sortir.

Dans ce cas, les victimes finissent par être victimes de chantage uniquement sur la base du silence des escrocs, et non de la récupération de leurs fichiers pour relancer leur entreprise.

Cela semble être ce qui s'est passé lors de la récente et très médiatisée MOVEit attaque, où le gang Clop, ou leurs affiliés, étaient au courant d'une vulnérabilité exploitable du jour zéro dans un logiciel connu sous le nom de MOVEit…

… il s'agit simplement de télécharger, de gérer et de partager en toute sécurité des données d'entreprise, y compris un composant qui permet aux utilisateurs d'accéder au système en utilisant rien de plus complexe que leurs navigateurs Web.

Malheureusement, le trou du jour zéro existait dans le code Web de MOVEit, de sorte que toute personne ayant activé l'accès Web exposait par inadvertance ses bases de données de fichiers d'entreprise à des commandes SQL injectées à distance.

Apparemment, plus de 130 entreprises sont désormais soupçonnées d'avoir eu des données volées avant que le MOVEit zero-day ne soit découvert et corrigé.

De nombreuses victimes semblent être des employés dont les détails de paie ont été piratés et volés - non pas parce que leur propre employeur était un client de MOVEit, mais parce que le processeur de paie externalisé de leur employeur l'était et que leurs données ont été volées dans la base de données de paie de ce fournisseur.

De plus, il semble qu'au moins certaines des organisations piratées de cette manière (que ce soit directement via leur propre configuration MOVEit, ou indirectement via l'un de leurs fournisseurs de services) étaient des organismes de service public américains.

Récompense à gagner

Cette combinaison de circonstances a conduit l'équipe US Rewards for Justice (RFJ), qui fait partie du département d'État américain (l'équivalent de votre pays pourrait s'appeler Affaires étrangères ou ministère des Affaires étrangères), rappelant à tout le monde sur Twitter ce qui suit :

Les RFJ propre site Web dit, comme cité dans le tweet ci-dessus :

Rewards for Justice offre une récompense pouvant aller jusqu'à 10 millions de dollars pour les informations permettant d'identifier ou de localiser toute personne qui, tout en agissant sous la direction ou sous le contrôle d'un gouvernement étranger, participe à des cyberactivités malveillantes contre des infrastructures critiques américaines en violation de la loi sur la fraude et les abus informatiques (CFAA).

Il n'est pas clair si les informateurs pourraient se retrouver avec plusieurs multiples de 10,000,000 10 10 $ s'ils identifient plusieurs délinquants, et chaque récompense est spécifiée comme "jusqu'à" XNUMX millions de dollars plutôt que XNUMX millions de dollars non dilués à chaque fois...

… mais il sera intéressant de voir si quelqu'un décide d'essayer de réclamer l'argent.

Horodatage:

Plus de Sécurité nue