Intresserad av $10,000,000 XNUMX XNUMX? Redo att lämna in Clop ransomware-teamet?

Den senaste högprofilerade utnyttjande av cyberbrottslighet som tillskrivs Clop ransomware-besättningen är inte din traditionella sorts ransomware-attacker (om "traditionell" är det rätta ordet för en utpressningsmekanism som bara går tillbaka till 1989).

Konventionella ransomware-attacker är där dina filer krypteras, ditt företag spåras ur totalt och ett meddelande visas som talar om för dig att en dekrypteringsnyckel för din data är tillgänglig...

...för vad som vanligtvis är en iögonfallande summa pengar.

Kriminell evolution

Som du kan föreställa dig, givet det ransomware går tillbaka till dagarna innan alla hade tillgång till internet (och när de som var online hade dataöverföringshastigheter mätt inte i gigabit eller ens megabit per sekund, utan ofta bara i kilobit), var tanken på att förvränga dina filer där de låg ett skumt knep för att spara tid.

Brottslingarna fick fullständig kontroll över dina data, utan att behöva ladda upp allt först och sedan skriva över originalfilerna på disken.

Ännu bättre för skurkarna, de kunde gå efter hundratals, tusentals eller till och med miljontals datorer på en gång, och de behövde inte hålla kvar all din data i hopp om att "sälja tillbaka den" till dig. (Innan molnlagring blev en konsumenttjänst var diskutrymme för säkerhetskopiering dyrt och kunde inte lätt skaffas på begäran på ett ögonblick.)

Offer för filkrypterande ransomware slutar ironiskt nog med att agera som ovilliga fängelsevaktare för sin egen data.

Deras filer lämnas frestande inom räckhåll, ofta med sina ursprungliga filnamn (om än med ett extra tillägg som t.ex. .locked läggas till på slutet för att gnida in salt i såret), men helt obegripligt för de appar som vanligtvis öppnar dem.

Men i dagens cloud computing-värld är cyberattacker där ransomware-skurkar faktiskt tar kopior av alla, eller åtminstone många, av dina viktiga filer inte bara tekniskt möjliga, de är vanliga.

Bara för att vara tydlig, i många, om inte de flesta, fall förvränger angriparna dina lokala filer också, eftersom de kan.

När allt kommer omkring är det i allmänhet mycket snabbare att förvränga filer på tusentals datorer samtidigt än att ladda upp alla till molnet.

Lokala lagringsenheter ger vanligtvis en databandbredd på flera gigabit per sekund per enhet och dator, medan många företagsnätverk har en internetanslutning på några hundra megabit per sekund, eller ännu mindre, delad mellan alla.

Att förvränga alla dina filer på alla dina bärbara datorer och servrar i alla dina nätverk innebär att angriparna kan utpressa dig på grund av att de gör ditt företag i konkurs om du inte kan återställa dina säkerhetskopior i tid.

(Dagens ransomware-skurkar gör ofta allt för att förstöra så mycket av din säkerhetskopierade data som de kan hitta innan de gör filkrypteringen.)

Det första lagret av utpressning säger: “Betala upp så ger vi dig de krypteringsnycklar du behöver för att rekonstruera alla dina filer precis där de finns på varje dator, så även om du har långsamma, partiella eller inga säkerhetskopieringar kommer du snart att vara igång igen; vägra att betala och din affärsverksamhet kommer att stanna precis där den är, död i vattnet.”

Samtidigt, även om skurkarna bara har tid att stjäla några av dina mest intressanta filer från några av dina mest intressanta datorer, får de ändå ett andra svärd av Damokles att hålla över ditt huvud.

Det andra lagret av utpressning går i stil med, "Betala upp och vi lovar att radera stulna data; vägra att betala och vi kommer inte bara att hålla fast vid det, vi kommer att gå vilda med det.”

Skurkarna hotar vanligtvis att sälja dina trofédata vidare till andra brottslingar, att vidarebefordra dem till tillsynsmyndigheterna och media i ditt land, eller helt enkelt att publicera dem öppet online så att alla och alla kan ladda ner dem och smutskasta.

Glöm krypteringen

I vissa cyberutpressningsattacker hoppar brottslingar som redan har stulit din data antingen över filförvrängningsdelen eller kan inte ta bort det.

I det fallet hamnar det i att offren blir utpressade bara på grund av att de håller skurkarna tysta, inte för att få tillbaka sina filer för att få igång sin verksamhet igen.

Det verkar vara vad som hände i den senaste högprofilen MOVEit attackerar, där Clop-gänget, eller deras affiliates, kände till en exploateringsbar nolldagarssårbarhet i programvara känd som MOVEit...

…det råkar bara handla om att ladda upp, hantera och säkert dela företagsdata, inklusive en komponent som låter användare komma åt systemet utan att använda något mer komplicerat än deras webbläsare.

Tyvärr fanns nolldagarshålet i MOVEits webbaserade kod, så att alla som hade aktiverat webbaserad åtkomst oavsiktligt exponerade sina företagsfildatabaser för fjärrinjicerade SQL-kommandon.

---

---

Tydligen misstänks mer än 130 företag nu ha fått data stulen innan MOVEit zero-day upptäcktes och lappades.

Många av offren verkar vara anställda vars löneuppgifter brutits och stulits – inte för att deras egen arbetsgivare var en MOVEit-kund, utan för att deras arbetsgivares utlagda lönebehandlare var det, och deras data stals från den leverantörens lönedatabas.

Dessutom verkar det som om åtminstone några av de organisationer som hackades på detta sätt (oavsett om det var direkt via sin egen MOVEit-installation eller indirekt via en av deras tjänsteleverantörer) var amerikanska offentliga tjänsteorgan.

Belöning att vinna

Denna kombination av omständigheter ledde till att US Rewards for Justice (RFJ)-teamet, en del av det amerikanska utrikesdepartementet (ditt lands motsvarighet kan gå under namnet Foreign Affairs eller Foreign Ministry), påminde alla på Twitter enligt följande:

RFJ:erna säger egen hemsida, som citerats i tweeten ovan:

Rewards for Justice erbjuder en belöning på upp till 10 miljoner USD för information som leder till identifiering eller lokalisering av någon person som, samtidigt som den agerar på ledning av eller under kontroll av en utländsk regering, deltar i skadliga cyberaktiviteter mot amerikansk kritisk infrastruktur i överträdelse i Computer Fraud and Abuse Act (CFAA).

Huruvida informatörer kan sluta med flera multiplar av 10,000,000 10 10 $ om de identifierar flera brottslingar är inte klart, och varje belöning specificeras som "upp till" XNUMX miljoner dollar snarare än en outspädd XNUMX miljoner dollar varje gång...

…men det ska bli intressant att se om någon bestämmer sig för att försöka kräva pengarna.

---

• SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
• PlatoData.Network Vertical Generative Ai. Styrka dig själv. Tillgång här.
• PlatoAiStream. Web3 Intelligence. Kunskap förstärkt. Tillgång här.
• Platoesg. Fordon / elbilar, Kol, CleanTech, Energi, Miljö, Sol, Avfallshantering. Tillgång här.
• BlockOffsets. Modernisera miljökompensation ägande. Tillgång här.
• Källa: https://nakedsecurity.sophos.com/2023/06/28/interested-in-10000000-ready-to-turn-in-the-clop-ransomware-crew/