Cl0p започнаха да публикуват данните на жертвите си в MOVEit Transfer кампанията си
В края на май тази година, Progress Software издават незабавна актуализация за своя програмен продукт MOVEit Transfer, в която адресират сериозна накърнимост, която е атакувана в лимитирани офанзиви. Скоро по-късно в медиите стартират да излизат вести за хакнати от известна рансъмуер група компании и организации, точно посредством експлоатиране на въпросната накърнимост.
Зад офанзивите към MOVEit Transfer стои небезизвестната група на Cl0p, която експлоатира стотици организации и бизнеси за броени седмици, като вследствие на тези офанзиви компрометираните персонални записи към този момент засягат над 20 000 000 души. Няма информация по кое време тъкмо са почнали офанзивите към CVE-2023-34362, въпросната накърнимост в MOVEit Transfer, както и по кое време са стартирали съответно тези на Cl0p, само че вземайки поради, че засегнатите бизнеси и организации от тях към този момент надвишават 1000, то е доста евентуално офанзивите им да са почнали надалеч преди Progress да издадат кръпка за дупката. За последно, жертва на офанзивите им към MOVEit Transfer станаха DHL UK. А в този момент Cl0p започнаха да разгласяват откраднатите от тях данни на тези организации и то не в даркуеб пространството, а в елементарен за постигане от всички интернет запас.
Cl0p или Clop е относително нова, само че към този момент много сполучлива рансъмуер група, настояща по бизнес модела на „ рансъмуер като услуга “ и в този смисъл е мъчно да се каже, че става дума за съответна кибербанда. При този бизнес модел в незаконния свят, създателите на зловредната стратегия отдават на други нарушители кодова и контролна база против % от откупа, който вероятно заплаща жертвата на рансъмуер офанзивата. Според разнообразни информации, облагата на хората зад Cl0p може да доближава $500 милиона. Създателите на рансъмуер програмата се свързват постоянно с APT (advanced persistent threat – хакерски групи, чиито претекстове са нормално шпионаж и постоянно се свързват с държавни структури на обособени страни) групата на Lace Tempest/Storm-0950, FIN11, TA505 и Evil Corp. За последните пък има данни, че работят под дейната защита на държавното управление в Москва, въпреки и съветските управляващи да отхвърлят това. Освен това, сходно на други рансъмуер банди през днешния ден, Cl0p употребяват тактиката на двойното изнудване – с изключение на криптиране на данните, преди да ги заключат, те копират сензитивна информация, след което заплашват жертвата, че в случай че не заплати откуп, ще ги разгласява. Обикновено обаче това се прави в мрежата на Tor, където уеб сайтът мъчно може да бъде свален, а нарушителите – проследени. В случая обаче, Cl0p възприемат тактичност от хората зад ALPHV/BlackCat рансъмуера, които вместо в дакуеб пространството, разгласяват откраднатата информация в откритата Мрежа.
Bleeping Computer оповестяват, че хакерите са почнали със основаването на уебсайт, на който в обособени архиви се оферират откраднатите данни от водещия счетоводен консорциум PricewaterhouseCoopers (PwC). Скоро по-късно се е появила и интернет страница, предлагаща достъп до данните, отмъкнати от Aon, а след това и уеб сайтове с откраднати данни от EY (Ernst & Young), Kirkland и TD Ameritrade.
Междувременно през предходната седмица, компанията за следствия и разбор в региона на киберсигурността Cloweware разгласиха отчет, съгласно който облагата на Cl0p може да доближи и надвиши $100 милиона. Те акцентират, че въпреки и малко от жертвите им да заплащат претенции от тях откуп, то сумата, която желаят от жертвите си е надалеч по-висока от междинната за този вид закононарушения (около 740 000 долара).
