Te interesează 10,000,000 USD? Sunteți gata să predați echipa de ransomware Clop?

Cel mai recent profil înalt exploatările criminalității cibernetice atribuite echipajului de ransomware Clop nu sunt tipul tău tradițional de atacuri ransomware (dacă „tradițional” este cuvântul potrivit pentru un mecanism de extorcare care datează doar din 1989).

Atacurile ransomware convenționale sunt acolo unde fișierele dvs. sunt amestecate, afacerea dvs. devine total deraiată și apare un mesaj care vă spune că o cheie de decriptare pentru datele dvs. este disponibilă...

…pentru ceea ce este de obicei o sumă de bani uluitoare.

Evolutie penala

După cum vă puteți imagina, având în vedere asta ransomware-ul revine până în zilele înainte ca toată lumea să aibă acces la internet (și când cei care erau online aveau viteze de transfer de date măsurate nu în gigabiți sau chiar megabiți pe secundă, ci de multe ori doar în kilobiți), ideea de a vă amesteca fișierele acolo unde se aflau era un truc ticălos. economisi timp.

Infractorii au ajuns să aibă control complet asupra datelor tale, fără a fi nevoie să încarce totul mai întâi și apoi să suprascrie fișierele originale de pe disc.

Mai bine încă pentru escroci, ei puteau urmări sute, mii sau chiar milioane de computere simultan și nu aveau nevoie să vă păstreze toate datele în speranța de a vi le „vând înapoi”. (Înainte ca stocarea în cloud să devină un serviciu de consum, spațiul pe disc pentru backup era costisitor și nu putea fi achiziționat cu ușurință la cerere într-o clipă.)

Victimele ransomware-ului de criptare a fișierelor ajung, în mod ironic, să acționeze ca gardieni involuntari ai propriilor date.

Fișierele lor sunt lăsate tentant la îndemână, adesea cu numele lor originale (deși cu o extensie suplimentară, cum ar fi .locked adăugat la capăt pentru a freca sare în rană), dar complet de neînțeles pentru aplicațiile care le-ar deschide de obicei.

Dar în lumea cloud computing-ului de astăzi, atacurile cibernetice în care escrocii de ransomware preiau de fapt copii ale tuturor, sau cel puțin ale multor fișiere vitale, nu sunt doar posibile din punct de vedere tehnic, ci și obișnuite.

Pentru a fi clar, în multe cazuri, dacă nu în majoritatea cazurilor, atacatorii vă amestecă și fișierele locale, pentru că pot.

La urma urmei, amestecarea fișierelor pe mii de computere simultan este, în general, mult mai rapidă decât încărcarea lor pe toate în cloud.

Dispozitivele de stocare locale oferă de obicei o lățime de bandă de date de câțiva gigabiți pe secundă per unitate per computer, în timp ce multe rețele corporative au o conexiune la internet de câteva sute de megabiți pe secundă, sau chiar mai puțin, partajată între toți.

Amestecarea tuturor fișierelor de pe toate laptopurile și serverele din toate rețelele înseamnă că atacatorii vă pot șantaja pe baza falimentării afacerii dvs., dacă nu vă puteți recupera copiile de rezervă la timp.

(Escrocii de ransomware din ziua de azi fac adesea toate eforturile pentru a distruge cât mai multe dintre datele tale pentru care faceți copii de rezervă, câte pot găsi înainte de a face partea de amestecare a fișierelor.)

Primul strat de șantaj spune: „Plătiți și vă vom oferi cheile de decriptare de care aveți nevoie pentru a vă reconstrui toate fișierele exact acolo unde se află pe fiecare computer, așa că, chiar dacă aveți copii de siguranță lente, parțiale sau deloc, veți reveni în curând; refuzați să plătiți și operațiunile dvs. de afaceri vor rămâne exact acolo unde sunt, morți în apă.”

În același timp, chiar dacă escrocii au timp doar să fure unele dintre cele mai interesante fișiere ale tale de pe unele dintre cele mai interesante computere ale tale, ei au totuși o a doua sabie a lui Damocles pe care să o țină deasupra capului tău.

Al doilea strat de șantaj merge pe linia, „Plătiți și promitem să ștergem datele furate; refuzăm să plătim și nu ne vom păstra pur și simplu, ci o să ne înnebunim cu ea.”

Escrocii amenință de obicei că vă vând datele trofeului altor infractori, că le transmit autorităților de reglementare și mass-media din țara dvs. sau pur și simplu le publică online în mod deschis pentru ca oricine să le descarce și să se savureze.

Uitați de criptare

În unele atacuri de extorcare cibernetică, infractorii care v-au furat deja datele fie omit partea de amestecare a fișierelor, fie nu reușesc să o rețină.

În acest caz, victimele ajung să fie șantajate doar pe baza faptului că-i ține pe escrocii liniștiți, nu pentru a-și recupera fișierele pentru a-și relua afacerea.

Asta pare să fie ceea ce s-a întâmplat în ultimul profil înalt MOVEit atacă, unde banda Clop, sau afiliații lor, știau despre o vulnerabilitate exploatabilă zero-day în software-ul cunoscut sub numele de MOVEit...

…se întâmplă să fie totul despre încărcarea, gestionarea și partajarea în siguranță a datelor corporative, inclusiv o componentă care permite utilizatorilor să acceseze sistemul folosind nimic mai complex decât browserele lor web.

Din păcate, gaura zero-day a existat în codul bazat pe web al MOVEit, astfel încât oricine a activat accesul pe web și-a expus din neatenție bazele de date de fișiere corporative la comenzi SQL injectate de la distanță.

---

---

Se pare că peste 130 de companii sunt acum suspectate că au fost furate date înainte ca MOVEit zero-day să fie descoperit și corectat.

Multe dintre victime par să fie angajați ale căror detalii de salarizare au fost încălcate și furate – nu pentru că propriul angajator era un client MOVEit, ci pentru că procesatorul de salarii externalizat al angajatorului lor a fost, iar datele lor au fost furate din baza de date a salariilor acelui furnizor.

În plus, se pare că cel puțin unele dintre organizațiile piratate în acest fel (fie direct prin intermediul propriei configurații MOVEit, fie indirect prin intermediul unuia dintre furnizorii lor de servicii) au fost organisme de servicii publice din SUA.

Recompensă la bătaie

Această combinație de circumstanțe a dus la echipa US Rewards for Justice (RFJ), parte a Departamentului de Stat al SUA (echivalentul țării dvs. s-ar putea denumi Foreign Affairs sau Foreign Minister), reamintind tuturor de pe Twitter după cum urmează:

RFJ-urile propriul site spune, după cum este citat în tweetul de mai sus:

Rewards for Justice oferă o recompensă de până la 10 milioane USD pentru informațiile care conduc la identificarea sau localizarea oricărei persoane care, în timp ce acționează sub conducerea sau sub controlul unui guvern străin, participă la activități cibernetice rău intenționate împotriva infrastructurii critice din SUA, încălcând. din Legea privind frauda și abuzul informatic (CFAA).

Nu este clar dacă informatorii ar putea avea mai mulți multipli de 10,000,000 de dolari dacă identifică mai mulți infractori, iar fiecare recompensă este specificată ca „până la” 10 milioane de dolari, mai degrabă decât 10 milioane de dolari nediluați de fiecare dată...

…dar va fi interesant de văzut dacă cineva decide să încerce să revendice banii.

---

• Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
• PlatoData.Network Vertical Generative Ai. Împuterniciți-vă. Accesați Aici.
• PlatoAiStream. Web3 Intelligence. Cunoștințe amplificate. Accesați Aici.
• PlatoESG. Automobile/VE-uri, carbon, CleanTech, Energie, Mediu inconjurator, Solar, Managementul deșeurilor. Accesați Aici.
• BlockOffsets. Modernizarea proprietății de compensare a mediului. Accesați Aici.
• Sursa: https://nakedsecurity.sophos.com/2023/06/28/interested-in-10000000-ready-to-turn-in-the-clop-ransomware-crew/