По словам исследователей NCC Group, после фактического прекращения всей их деятельности на несколько месяцев, с ноября по февраль, программа-вымогатель Clop снова вернулась.
«CL0P резко и неожиданно вернулся на передний план ландшафта угроз программ-вымогателей, поднявшись с наименее активного субъекта угроз в марте на четвертое место по активности в апреле», — говорится в сообщении NCC Group.
Этот всплеск активности был замечен после того, как группа вымогателей добавила 21 новую жертву на свой сайт утечки данных в течение одного месяца, в апреле.
«В апреле были заметные колебания в нацеливании злоумышленников. В то время как Lockbit 2.0 (103 жертвы) и Conti (45 жертв) остаются самыми многочисленными злоумышленниками, количество жертв CL0P значительно увеличилось, с 1 до 21», — добавила NCC Group .
Наиболее целевым сектором Clop был промышленный сектор: 45% атак программ-вымогателей Clop поражали промышленные организации, а 27% — технологические компании.
Из-за этого глобальный руководитель стратегического анализа угроз NCC Group Мэтт Халл предупредил организации в наиболее целевых секторах группы вымогателей, чтобы они рассмотрели возможность стать следующей целью этой банды и подготовились соответствующим образом.
Однако, несмотря на утечку данных почти от двух десятков жертв, группа вымогателей не выглядит очень активной, судя по количеству представлений в службе ID Ransomware.
Активность программы-вымогателя Clop (ID Ransomware)Часть процесса отключения?
Хотя подтверждено, что некоторые из недавних жертв являются новыми атаками, одна из теорий состоит в том, что банда Клопа может наконец свернуть свою деятельность после столь долгого бездействия.В рамках этого процесса банда вымогателей, вероятно, опубликует данные обо всех ранее неопубликованных жертвах.
Это похоже на то, что группа Conti, по-видимому, делает прямо сейчас в рамках своего собственного продолжающегося закрытия.
Будут ли это старые или новые жертвы, скорее всего, будет подтверждено, если они выпустят уведомления о взломе или опубликуют подтверждения ( некоторые из них уже сделали это ).
Кто такой Клоп?
Затишье в деятельности банды вымогателей Clop легко объясняется тем, что часть ее инфраструктуры была закрыта в июне 2021 года после международной операции правоохранительных органов под кодовым названием Operation Cyclone, координируемой Интерполом.Шесть человек, подозреваемых в отмывании денег и предоставлении услуг по обналичиванию денег для банды вымогателей Clop, были арестованы украинскими властями после 21 обыска в домах в Киевской области.
«Ожидается, что общее влияние на CLOP будет незначительным», — сообщила BleepingComputer компания по кибербезопасности Intel 471.
Банда Clop, нацеленная на жертв атак программ-вымогателей по всему миру как минимум с 2019 года (некоторые из ее жертв включают Маастрихтский университет , Software AG IT , ExecuPharm и Indiabulls ), также была связана с массовой волной утечек данных Accellion, что привело к значительному увеличению средние выплаты выкупа за первые три месяца 2021 года.
В атаках Accellion операторы Clop извлекали только большие объемы данных из известных компаний, используя унаследованное от Accellion File Transfer Appliance (FTA).
Позже банда использовала эти украденные данные в качестве рычага для вымогательства у скомпрометированных компаний, заставляя их платить высокие требования выкупа, чтобы их данные не просочились в сеть.
Список компаний, серверы Accellion FTA которых были взломаны Клопом, включает, среди прочего, энергетического гиганта Shell , фирму по кибербезопасности Qualys , гиганта супермаркетов Kroger и несколько университетов по всему миру ( Университет Колорадо , Университет Майами, Стэнфордский медицинский университет, Университет Мэриленда). Балтимор (UMB) и Калифорнийский университет.)