Η συμμορία ransomware Clop αλλάζει και πάλι τις τακτικές της για εκβιασμό, χρησιμοποιώντας πλέον torrents για να διαρρεύσει κλεμμένα δεδομένα από επιθέσεις MOVEit.
Δείτε επίσης: Η Clop ransomware ομάδα θα κερδίσει $ 75-100 εκατ. μέσω των επιθέσεων MOVEit
Στις 27 Μαΐου, η συμμορία ransomware Clop ξεκίνησε μια σειρά επιθέσεων με σκοπό την κλοπή δεδομένων, εκμεταλλευόμενη μια ευπάθεια zero-day στην ασφαλή πλατφόρμα μεταφοράς αρχείων MOVEit Transfer.
Η ευπάθεια αυτή επέτρεψε στους κακόβουλους παράγοντες να κλέψουν δεδομένα από σχεδόν 600 οργανισμούς παγκοσμίως, προτού αντιληφθούν ότι είχαν υποστεί παραβίαση. Στις 14 Ιουνίου, η συμμορία ransomware άρχισε να εκβιάζει τα θύματά της, προσθέτοντας σιγά σιγά ονόματα στον ιστότοπο διαρροής δεδομένων Tor και τελικά κυκλοφόρησε δημόσια τα αρχεία.
Ωστόσο, η διαρροή δεδομένων μέσω ενός ιστότοπου Tor έχει ορισμένα μειονεκτήματα. Η ταχύτητα λήψης είναι αργή, κάτι που μειώνει τον κίνδυνο της διαρροής σε ορισμένες περιπτώσεις. Παρ’ όλα αυτά, η πρόσβαση στα δεδομένα είναι πιο δύσκολη.
Για να αντιμετωπίσει αυτό το ζήτημα, η ομάδα Clop δημιούργησε ιστότοπους στο clearweb για τη διαρροή κλεμμένων δεδομένων από ορισμένα από τα θύματα του MOVEit. Ωστόσο, αυτοί οι τύποι τομέων είναι ευάλωτοι στην καταργησή τους από τις αρχές επιβολής του νόμου και τις επιχειρήσεις.
Ως μια νέα λύση σε αυτά τα ζητήματα, η ομάδα Clop έχει ξεκινήσει να χρησιμοποιεί torrents για να διανέμει τα δεδομένα που κλάπηκαν από την επίθεση MOVEit. Σύμφωνα με τον ερευνητή ασφαλείας Dominic Alvieri, ο οποίος ανακάλυψε πρώτος αυτή τη νέα τακτική, έχουν δημιουργηθεί torrents για είκοσι θύματα, μεταξύ των οποίων περιλαμβάνονται οι Aon, K & L Gates, Putnam, Delaware Life, Zurich Brazil και Heidelberg.
Στο πλαίσιο αυτής της νέας μεθόδου εκβιασμού, η ομάδα ransomware Clop έχει δημιουργήσει έναν νέο ιστότοπο στο Tor που παρέχει οδηγίες για τη χρήση προγραμμάτων-πελατών torrent, προκειμένου να ληφθούν τα διαρρεύσαντα δεδομένα και να αποκτηθούν οι λίστες με τους συνδέσμους για τις είκοσι θύματα.
Δείτε ακόμα: Clop ransomware: Η ομάδα δημοσιεύει κλεμμένα δεδομένα σε clearweb sites
Καθώς τα torrents χρησιμοποιούν τη μεταφορά peer-to-peer ανάμεσα σε διάφορους χρήστες, οι ταχύτητες μεταφοράς είναι υψηλότερες από αυτές των παραδοσιακών ιστότοπων διαρροής δεδομένων Tor.
Επιπλέον, επειδή αυτή η μέθοδος είναι αποκεντρωμένη, δεν υπάρχει εύκολος τρόπος για τις αρχές να την κλείσουν ή να την ελέγξουν. Ακόμα κι αν το αρχικό πρόγραμμα διαρροής δεν είναι συνδεδεμένο, μπορεί να χρησιμοποιηθεί μια νέα συσκευή για να δημιουργηθούν δεδομένα που έχουν κλαπεί, αν απαιτείται.
Εάν αυτό αποδειχθεί επιτυχές για την Clop, πιθανότατα θα συνεχίσει να χρησιμοποιεί αυτήν τη μέθοδο για τη διαρροή δεδομένων. Η μέθοδος αυτή είναι πιο εύκολη στη ρύθμιση, δεν απαιτεί περίπλοκο ιστότοπο και μπορεί να πιέσει περαιτέρω τα θύματα λόγω της αυξημένης δυνατότητας για ευρύτερη διανομή κλεμμένων δεδομένων.
Η Coveware αναφέρει ότι αναμένεται η Clop να εισπράξει ποσό από 75 έως 100 εκατομμύρια δολάρια σε πληρωμές εκβιασμού. Αυτό δεν συμβαίνει επειδή τα περισσότερα θύματα πληρώνουν, αλλά επειδή οι απειλητικοί παράγοντες κατάφεραν με επιτυχία να πείσουν μια μικρή ομάδα εταιρειών να καταβάλουν υψηλά λύτρα. Δεν έχει ακόμη καθοριστεί εάν η χρήση του BitTorrent θα οδηγήσει σε αυξημένες πληρωμές. Παρ’ όλα αυτά, αυτά τα κέρδη μπορεί να μην έχουν σημασία.
Δείτε επίσης: Shutterfly: Η επίθεση Clop ransomware δεν επηρέασε τα δεδομένα πελατών
Τα torrents είναι μια δημοφιλής μέθοδος διανομής αρχείων στο διαδίκτυο, που επιτρέπει την αποτελεσματική και γρήγορη μεταφορά μεγάλων αρχείων. Με τη χρήση της τεχνολογίας peer-to-peer, τα torrents επιτρέπουν στους χρήστες να λάβουν και να στείλουν δεδομένα από τους συμμετέχοντες στο δίκτυο, αντί να αξιοποιούν έναν κεντρικό διακομιστή. Αυτό κάνει την ταχύτητα λήψης να εξαρτάται από την ενεργό συμμετοχή των χρηστών, καθώς και τον αριθμό των διαρροών ή των χρηστών που μοιράζονται το αρχείο.
