Interessato a $ 10,000,000? Pronto a consegnare l'equipaggio del ransomware Clop?

L'ultimo di alto profilo exploit del crimine informatico attribuiti all'equipaggio ransomware Clop non sono il tipo tradizionale di attacchi ransomware (se "tradizionale" è la parola giusta per un meccanismo di estorsione che risale solo al 1989).

Gli attacchi ransomware convenzionali sono dove i tuoi file vengono criptati, la tua attività viene totalmente deragliata e appare un messaggio che ti dice che è disponibile una chiave di decrittazione per i tuoi dati...

…per quella che in genere è una somma di denaro da far venire l'acquolina in bocca.

Evoluzione criminale

Come puoi immaginare, dato questo il ransomware risale ai giorni in cui tutti avevano accesso a Internet (e quando coloro che erano online avevano velocità di trasferimento dei dati misurate non in gigabit o addirittura megabit al secondo, ma spesso semplicemente in kilobit), l'idea di rimescolare i file dove si trovavano era un vile trucco per risparmia tempo.

I criminali si sono ritrovati con il controllo completo sui tuoi dati, senza dover prima caricare tutto e poi sovrascrivere i file originali su disco.

Meglio ancora per i truffatori, potrebbero andare dietro a centinaia, migliaia o addirittura milioni di computer contemporaneamente e non avevano bisogno di conservare tutti i tuoi dati nella speranza di "rivenderteli". (Prima che l'archiviazione cloud diventasse un servizio consumer, lo spazio su disco per il backup era costoso e non poteva essere facilmente acquisito su richiesta in un istante.)

Ironia della sorte, le vittime di ransomware che crittografano i file finiscono per agire come guardie carcerarie riluttanti dei propri dati.

I loro file vengono lasciati allettanti a portata di mano, spesso con i loro nomi di file originali (anche se con un'estensione aggiuntiva come .locked aggiunti all'estremità per strofinare il sale sulla ferita), ma assolutamente incomprensibili per le app che di solito li aprono.

Ma nel mondo odierno del cloud computing, gli attacchi informatici in cui i criminali ransomware prendono effettivamente copie di tutti, o almeno molti, dei tuoi file vitali non sono solo tecnicamente possibili, ma sono all'ordine del giorno.

Giusto per essere chiari, in molti, se non nella maggior parte dei casi, gli aggressori codificano anche i tuoi file locali, perché possono farlo.

Dopotutto, codificare i file su migliaia di computer contemporaneamente è generalmente molto più veloce che caricarli tutti nel cloud.

I dispositivi di archiviazione locali in genere forniscono una larghezza di banda dati di diversi gigabit al secondo per unità per computer, mentre molte reti aziendali hanno una connessione Internet di poche centinaia di megabit al secondo, o anche meno, condivisa tra tutti.

Rimescolare tutti i tuoi file su tutti i tuoi laptop e server su tutte le tue reti significa che gli aggressori possono ricattarti sulla base della bancarotta della tua attività se non riesci a ripristinare i tuoi backup in tempo.

(I criminali ransomware di oggi spesso fanno di tutto per distruggere quanti più dati di backup riescono a trovare prima di eseguire la parte di codifica dei file.)

Il primo livello di ricatto dice, “Paga e ti daremo le chiavi di decrittazione di cui hai bisogno per ricostruire tutti i tuoi file esattamente dove si trovano su ciascun computer, quindi anche se hai backup lenti, parziali o assenti, sarai presto di nuovo operativo; rifiuta di pagare e le tue operazioni commerciali rimarranno esattamente dove sono, morte nell'acqua.

Allo stesso tempo, anche se i truffatori hanno solo il tempo di rubare alcuni dei tuoi file più interessanti da alcuni dei tuoi computer più interessanti, hanno comunque una seconda spada di Damocle da tenere sopra la tua testa.

Quel secondo livello di ricatto va sulla falsariga di, “Paga e promettiamo di cancellare i dati rubati; rifiutiamo di pagare e non ci limiteremo a trattenerlo, ci scateniamo con esso.

I truffatori in genere minacciano di vendere i dati dei tuoi trofei ad altri criminali, di inoltrarli alle autorità di regolamentazione e ai media nel tuo paese, o semplicemente di pubblicarli apertamente online affinché chiunque possa scaricarli e rimpinzarsi.

Dimentica la crittografia

In alcuni attacchi di estorsione informatica, i criminali che hanno già rubato i tuoi dati saltano la parte di rimescolamento dei file o non sono in grado di farcela.

In tal caso, le vittime finiscono per essere ricattate solo sulla base del fatto di tenere tranquilli i criminali, non di riavere i loro file per far ripartire la loro attività.

Questo sembra essere quello che è successo nel recente di alto profilo MOVEit attacca, dove la banda di Clop, o i loro affiliati, erano a conoscenza di una vulnerabilità sfruttabile zero-day nel software noto come MOVEit...

… si dà il caso che si tratti di caricare, gestire e condividere in modo sicuro i dati aziendali, incluso un componente che consente agli utenti di accedere al sistema utilizzando nient'altro che i loro browser web.

Sfortunatamente, il buco zero-day esisteva nel codice basato sul Web di MOVEit, quindi chiunque avesse attivato l'accesso basato sul Web esponeva inavvertitamente i propri database di file aziendali a comandi SQL iniettati da remoto.

---

---

Apparentemente, si sospetta che più di 130 aziende abbiano subito il furto di dati prima che il giorno zero di MOVEit fosse scoperto e riparato.

Molte delle vittime sembrano essere dipendenti i cui dati sulle buste paga sono stati violati e rubati, non perché il loro datore di lavoro fosse un cliente MOVEit, ma perché l'elaboratore di buste paga in outsourcing del datore di lavoro lo era e i loro dati sono stati rubati dal database delle buste paga di quel fornitore.

Inoltre, sembra che almeno alcune delle organizzazioni hackerate in questo modo (direttamente tramite la propria configurazione MOVEit o indirettamente tramite uno dei loro fornitori di servizi) fossero enti di servizio pubblico statunitensi.

Ricompensa in palio

Questa combinazione di circostanze ha portato il team US Rewards for Justice (RFJ), parte del Dipartimento di Stato degli Stati Uniti (l'equivalente del tuo paese potrebbe essere chiamato Affari Esteri o Ministero degli Esteri), ricordando a tutti su Twitter quanto segue:

Gli RFJ dice il proprio sito web, come citato nel tweet sopra:

Rewards for Justice offre una ricompensa fino a 10 milioni di dollari per informazioni che portino all'identificazione o all'ubicazione di qualsiasi persona che, agendo sotto la direzione o sotto il controllo di un governo straniero, partecipi ad attività informatiche dannose contro infrastrutture critiche statunitensi in violazione del Computer Fraud and Abuse Act (CFAA).

Se gli informatori potrebbero finire con diversi multipli di $ 10,000,000 se identificano più trasgressori non è chiaro, e ogni ricompensa è specificata come "fino a" $ 10 milioni piuttosto che $ 10 milioni non diluiti ogni volta...

…ma sarà interessante vedere se qualcuno decide di provare a reclamare i soldi.

---

• Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
• PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
• PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
• PlatoneESG. Automobilistico/VE, Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
• BlockOffset. Modernizzare la proprietà della compensazione ambientale. Accedi qui.
• Fonte: https://nakedsecurity.sophos.com/2023/06/28/interested-in-10000000-ready-to-turn-in-the-clop-ransomware-crew/