0
0
O grupo de ransomware mudou mais uma vez sua tática de extorsão e agora está usando torrents para vazar dados roubados em ataques ao MOVEit
Desde 27 de maio, a gangue de ransomware Clop tem realizado uma onda de ataques de roubo de dados por meio da exploração de uma vulnerabilidade de dia zero na plataforma segura de transferência de arquivos MOVEit Transfer, da Progress Software. A exploração desse dia zero permitiu que os hackers até agora roubassem dados de quase 600 organizações em todo o mundo antes mesmo de perceberem que foram invadidos.
Em 14 de junho, a gangue do ransomware começou a extorquir suas vítimas, lentamente, adicionando nomes ao site de vazamento de dados Tor e, eventualmente, divulgando publicamente os arquivos. No entanto, o vazamento de dados por meio do Tor traz algumas desvantagens, pois a velocidade de download é lenta, tornando o vazamento, em alguns casos, não tão prejudicial quanto poderia ser se fosse mais fácil acessar os dados.
Para superar isso, o Clop criou sites clear web — na internet que usamos para atividades cotidianas — para vazar roubados para algumas das vítimas de roubo de dados do MOVEit, mas esses tipos de domínios são mais fáceis de serem derrubados pelas autoridades e empresas.
A saída encontrada pelo grupo de ransomware para superar esses problemas foi usar sites de torrent para distribuir dados roubados do ataque MOVEit. Sites de torrente são locais populares que permitem o compartilhamento de arquivos P2P (peer-to-peer, ou ponto a ponto) para atender às necessidades dos internautas.
De acordo com o pesquisador de segurança Dominic Alvieri, que descobriu essa nova tática, torrents foram criados para vinte vítimas, incluindo as empresas Aon, K&L Gates, Putnam, Delaware Life, Zurich Brazil e Heidelberg.
Como parte desse novo método de extorsão, Clop criou um novo site Tor fornecendo instruções sobre como usar clientes de torrent para baixar os dados vazados e listas de links magnéticos para as vinte vítimas. Como os torrents usam transferência ponto a ponto entre diferentes usuários, as velocidades de transferência são mais rápidas do que os sites tradicionais de vazamento de dados do Tor.
Além disso, como esse método de distribuição é descentralizado, não há uma maneira fácil para os órgãos policiais desligá-lo. Mesmo que o seeder (dispositivo P2P) original seja colocado offline, um novo dispositivo pode ser usado para propagar os dados roubados conforme necessário.
Se isso for bem-sucedido para o Clop, provavelmente veremos eles continuarem a utilizar esse método para vazar dados, pois é mais fácil de configurar, não requer um site complexo e pode pressionar ainda mais as vítimas devido ao maior potencial de distribuição mais ampla de dados roubados. Com sites internacionais e agências de notícias.
FONTE: CISO ADVISOR