Украинската полиция си партнира със САЩ, Южна Корея за нападение над членовете на рансъмуер Clop

 

Украинската национална полиция обяви серия от набези в сряда, завършил с ареста на шестима души, за които се твърди, че са част от групата зад рансъмуера на Clop.

Групата е отговорна за някои от най-забележителните атаки на рансъмуер, забелязани през последните две години, със стотици жертви, вариращи от Shell и Kroger до Станфордския университет, Университета в Мериленд и Университета на Колорадо. Украинската полиция заяви, че общата вреда, причинена от техните атаки, възлиза на около 500 милиона долара.

Отделът за киберполиция на украинската национална полиция публикува обширен доклад в сряда сутринта за набезите, които включват снимки и видео. Работейки с южнокорейски полицаи, членове на Интерпол и неназовани американски агенции, служители в Украйна нахлуха в 21 различни резиденции в Киев и близките градове.

По време на рейда бяха иззети десетки компютри и скъпи коли в допълнение към около 185 000 долара. В доклада се казва, че сървърната инфраструктура е била премахната и домовете са иззети. Шестимата арестувани са изправени пред до осем години затвор за различни престъпления, свързани с атаките на групата-изкупвачи и прането на пари, донесени от откупи.

Украинска национална полиция

Украинската национална полиция отбеляза, че южнокорейските служители са били особено заинтересовани от набега заради атаките на рансъмуер, предприети от Clop срещу четири южнокорейски компании през 2019 г. Повече от 800 вътрешни сървъра и компютри от компаниите са били заразени в атаките.

Групата също атакува южнокорейския гигант за електронна търговия E-Land през ноември, осакатявайки компанията за дни. Членовете на Clop станаха добре известни с това, че атакуват компании, използващи стари версии на сървъра за споделяне на файлове Accellion FTA като Bombardier.

Резервната банка на Нова Зеландия, държавният одитор на Вашингтон и фирмата за киберсигурност Qualys са само част от жертвите, атакувани от членове на Clop чрез уязвимостта на Accellion.

Ким Бромли, старши анализатор на разузнаването за кибер заплахи в Digital Shadows, каза, че рансъмуерът Clop е активен от февруари 2019 г. и като цяло е насочен към големи организации.

„Въпреки участието във все по-популярната тактика на двойно изнудване, докладваното ниво на активност на Clop е сравнително ниско в сравнение с„ REvil “(известен още като Sodinokibi) или„ Conti “, обясни Бромли.

Въпреки пресата около нападението, много онлайн отбелязаха, че сайтът за изтичане, използван от членовете на Clop все още е нагоре. Източник от компания за киберсигурност Intel 471 хвърли студена вода върху вълнението около нападението интервю за Bleeping Computer. Те казаха на новинарското издание, че не смятат, че някой от основните играчи, стоящи зад Clop, е бил арестуван при нападението, защото живее в Русия. Те добавиха, че арестуваните са участвали най-вече в частта за пране на пари в операцията по изкупване.

Clop стана известен през 2020 г., след като поискаха откуп от над 20 милиона долара от Software AG, една от най-големите софтуерни компании в света. Множество компании за киберсигурност съобщиха, че Clop има връзки с група за разпространение на зловреден софтуер на име TA505 и група за киберпрестъпления, известна като FIN11.

Групите за изкупване са изправени пред засилен контрол от страна на правоприлагащите органи в световен мащаб, тъй като стотици организации продължават да се справят с осакатяващите последици от атаките.

Бромли отбеляза, че миналата седмица рансъмуерът Avaddon е спрял операциите си, а рангомуерът Ziggy е направил същото по-рано тази година, сигнализирайки, че нарастващият натиск от страна на правоприлагащите органи има ефект.

„Арестите и операциите, насочени към инфраструктурата за рансъмуер, трябва да продължат в краткосрочен план, за да се поддържа натиск върху операторите на рансъмуер“, добави Бромли.

Главният технически директор на Vectra Оливър Таваколи каза, че подобни набези са един от ключовите лостове, които могат да се използват за свиване на доходоносната екосистема на рансъмуера.

“Когато вероятността от последици се повиши, по-малко хора ще бъдат привлечени в бизнеса с рансъмуер”, каза Таваколи. „Когато се появят периодични смущения във веригата на доставки на рансъмуер, а понякога се възстановяват и откупи (както ФБР наскоро направи с някои от плащанията за откуп на Colonial Pipeline), самият бизнес с ransomware става по-малко доходоносен и по-малко хора са привлечени в него.“

Други експерти отбелязаха времето на нападението, което се случи същия ден като срещата на върха между американския президент Джо Байдън и руския президент Владимир Путин. Рансъмуерът беше важна тема за дискусии, Байдън каза след срещата.

“Това е смел ход, особено като се има предвид напрежението на Украйна с Русия. Би било по-добре да видим, че всеобхватните глобални усилия за прилагане на закона се засилват”, каза Хитеш Шет, главен изпълнителен директор на Vectra. “Киберсигурността измести ядрените оръжия като водещ въпрос за сигурността на свръхдържавата в нашата ера. Можем да се надяваме срещата на върха на Байдън-Путин да доведе до сътрудничество и структурен напредък в тази област.”

Публикациите се превеждат автоматично с google translate

Източник: www.zdnet.com