Η ransomware συμμορία Clop υιοθετεί μια τακτική εκβιασμού την οποία έχει χρησιμοποιήσει και η ομάδα ALPHV. Η Clop τώρα δημιουργεί ιστοσελίδες προσβάσιμες στο Διαδίκτυο (clearweb sites), που απευθύνονται σε συγκεκριμένες εταιρείες που έχουν πέσει θύμα του ransomware. Τα sites περιέχουν τα κλεμμένα δεδομένα τους. Με αυτόν τον τρόπο, διευκολύνεται η διαρροή των δεδομένων και αυξάνεται η πίεση προς τα θύματα για να πληρώσουν λύτρα.
Στις σύγχρονες επιθέσεις ransomware, οι hackers συνήθως επιτίθενται σε μια επιχείρηση, κλέβουν δεδομένα από το δίκτυο και στη συνέχεια κρυπτογραφούν τα αρχεία. Τα κλεμμένα δεδομένα χρησιμοποιούνται ως extra μέσο πίεσης, αφού οι hackers προειδοποιούν τα θύματα ότι τα δεδομένα θα διαρρεύσουν εάν δεν πληρωθούν τα λύτρα.
Δείτε επίσης: ΗΠΑ: Προσφέρουν ανταμοιβή $10 εκατ. για πληροφορίες σχετικά με τη ransomware συμμορία Clop
Οι ιστότοποι που διαρρέουν δεδομένα από ransomware συνήθως βρίσκονται στο δίκτυο Tor, γιατί εκεί είναι πιο δύσκολη η απενεργοποίηση των ιστότοπων καθώς και η πιθανή κατάσχεση της υποδομής τους από τις αρχές επιβολής του νόμου.
Ωστόσο, αυτή η μέθοδος παρουσιάζει διάφορα προβλήματα. Απαιτείται εξειδικευμένο πρόγραμμα περιήγησης Tor για πρόσβαση στους ιστότοπους, ενώ τα δεδομένα δεν ευρετηριάζονται από τις μηχανές αναζήτησης. Επιπλέον, οι ταχύτητες λήψης συνήθως είναι αργές.
Για να αντιμετωπίσει αυτές τις προκλήσεις, η επιχείρηση ransomware ALPHV, γνωστή ως BlackCat, υιοθέτησε πέρυσι μια καινοτόμο τακτική εκβιασμού. Δημιούργησε clearweb sites για τη διαρροή κλεμμένων δεδομένων, προβάλλοντάς τα ως έναν τρόπο για τους υπαλλήλους να ελέγχουν αν τα δεδομένα τους έχουν διαρρεύσει.
Τα clearweb sites φιλοξενούνται απευθείας στο Διαδίκτυο και όχι σε ανώνυμα δίκτυα όπως το Tor (για τα οποία χρειάζεται ειδικό λογισμικό, όπως είπαμε παραπάνω).
Αυτή η νέα μέθοδος διευκολύνει την πρόσβαση στα δεδομένα και πιθανότατα θα προκαλέσει την ευρετηρίασή τους από τις μηχανές αναζήτησης, επεκτείνοντας περαιτέρω τη διάδοση των πληροφοριών που διέρρευσαν.
Δείτε επίσης: Shutterfly: Η επίθεση Clop ransomware δεν επηρέασε τα δεδομένα πελατών
Η συμμορία Clop ransomware διαρρέει δεδομένα σε clearweb sites
Την περασμένη Τρίτη, ο ερευνητής ασφαλείας Dominic Alvieri είπε στο BleepingComputer ότι η συμμορία ransomware Clop είχε αρχίσει να δημιουργεί clearweb sites για να διαρρεύσει δεδομένα των θυμάτων από τις πρόσφατες επιθέσεις MOVEit Transfer.
Ο πρώτος ιστότοπος που δημιουργήθηκε από την ομάδα ήταν αυτός που αφορούσε την εταιρεία PWC. Δημιουργήθηκε με σκοπό να διαρρεύσει τα κλεμμένα δεδομένα της εταιρείας μέσω τεσσάρων αρχείων ZIP.
Λίγο αργότερα, οι επιτιθέμενοι δημιούργησαν επίσης sites για την Aon, την EY (Ernst & Young), την Kirkland και την TD Ameritrade.
Έχει λογική αυτή η κίνηση;
Αυτοί οι ιστότοποι στοχεύουν στο να τρομάξουν τους υπαλλήλους, τα στελέχη και τους επιχειρηματικούς εταίρους που μπορεί να έχουν επηρεαστεί από τη διαρροή δεδομένων. Έτσι, οι επιτιθέμενοι ελπίζουν ότι θα ασκήσουν περαιτέρω πίεση στην εταιρεία για να πληρώσει λύτρα.
Δείτε επίσης: Επιθέσεις MOVEit: Η Siemens Energy επιβεβαίωσε παραβίαση δεδομένων
Παρόλα αυτά, υπάρχουν και κάποια προβλήματα. Δεδομένου ότι αυτά τα δεδομένα τοποθετούνται στο Διαδίκτυο και όχι στο Tor, είναι πολύ πιο εύκολο να αφαιρεθούν.
Αυτή τη στιγμή, όλα τα clearweb site που έχει φτιάξει η ransomware ομάδα Clop, έχουν τεθεί εκτός σύνδεσης. Δεν είναι σαφές εάν αυτοί οι ιστότοποι είναι εκτός λειτουργίας λόγω κατασχέσεων από τις αρχές επιβολής του νόμου, επιθέσεων DDoS από εταιρείες κυβερνοασφάλειας ή παρόχων φιλοξενίας που έκλεισαν τους ιστότοπους. Όμως, λόγω της ευκολίας με την οποία μπορούν να κλείσουν, είναι αμφίβολο ότι αυτή η τακτική εκβιασμού αξίζει τον κόπο.
To ransomware αποτελεί μια από τις πιο σημαντικές απειλές στο σημερινό ψηφιακό κόσμο. Η προστασία από το ransomware είναι πιο ζωτική από ποτέ για εταιρείες και ιδιώτες. Οι καλύτερες πρακτικές περιλαμβάνουν την αυξημένη εκπαίδευση των χρηστών για την αναγνώριση και αποφυγή ύποπτων μηνυμάτων και συνδέσμων, την χρήση αξιόπιστου λογισμικού ασφαλείας, την ενημέρωση των συστημάτων και τη δημιουργία αντιγράφων ασφαλείας των σημαντικών δεδομένων.
Πηγή: www.bleepingcomputer.com
