Clop fidye yazılımı çetesi, belirli kurbanlara ayrılmış İnternet erişimine sahip web siteleri oluşturarak, çalınan verilerin sızdırılmasını kolaylaştırarak ve kurbanları fidye ödemeleri için daha fazla baskı yaparak ALPHV fidye yazılımı çetesinin şantaj taktiğini kopyalıyor.
Bir fidye yazılımı çetesi kurumsal bir hedefe saldırdığında, önce ağdan veri çalar ve ardından dosyaları şifreler. Çalınan bu veriler, çifte şantaj saldırılarında koz olarak kullanılır ve mağdurları fidye ödenmediği takdirde verilerin sızdırılacağı konusunda uyarır.
Fidye yazılımı veri sızıntısı siteleri, web sitesinin kapatılmasını veya kolluk kuvvetlerinin altyapılarına el koymasını zorlaştırdığından, genellikle Tor ağında bulunur.
Bununla birlikte, sitelere erişmek için özel bir Tor tarayıcısı gerektiğinden, arama motorları sızan verileri dizine eklemediğinden ve indirme hızları genellikle çok yavaş olduğundan, bu barındırma yönteminin fidye yazılımı operatörleri için kendi sorunları vardır.
Bu engellerin üstesinden gelmek için, geçen yıl, BlackCat olarak da bilinen ALPHV fidye yazılımı operasyonu, çalışanların verilerinin sızdırılıp sızdırılmadığını kontrol etmesinin bir yolu olarak tanıtılan çalıntı verileri sızdırmak için clearweb web siteleri oluşturmaya yönelik yeni bir şantaj taktiği başlattı.
Bir clearweb web sitesi, erişim için özel yazılım gerektiren Tor gibi anonim ağlar yerine doğrudan İnternet üzerinde barındırılır.
Bu yeni yöntem, verilere erişimi kolaylaştıracak ve muhtemelen arama motorları tarafından dizine eklenmesine neden olacak ve sızan bilgilerin yayılmasını daha da artıracaktır.
Clop fidye yazılımı çetesi taktiği benimsiyor
Geçen Salı, güvenlik araştırmacısı Dominik Alvieri BleepingComputer’a Clop fidye yazılımı çetesinin son ve yaygın MOVEit Transfer veri hırsızlığı saldırıları sırasında çalınan verileri sızdırmak için net web siteleri oluşturmaya başladığını söyledi.
Tehdit aktörleri tarafından oluşturulan ilk site, şirketin çalınan verilerini dört yayılmış ZIP arşivinde sızdıran bir web sitesi oluşturan iş danışmanlığı şirketi PWC içindi.
Alvieri, BleepingComputer’a söyledikten kısa bir süre sonra, tehdit aktörleri Aon, EY (Ernst & Young), Kirkland ve TD Ameritrade için web siteleri de oluşturdu.
Clop’un sitelerinden hiçbiri, BlackCat’in siteleri gibi aranabilir bir veritabanına sahip olmak yerine verileri indirmek için yalnızca bağlantıları listelediğinden, geçen yıl ALPHV tarafından oluşturulanlar kadar karmaşık değil.
Zaman kaybı?
Bu siteler, çalınan verilerden etkilenmiş olabilecek çalışanları, yöneticileri ve iş ortaklarını fidyeyi ödemesi için bir şirket üzerinde daha fazla baskı uygulamalarını umarak korkutmayı amaçlar.
Bununla birlikte, bu şekilde veri sızdırmanın bazı faydaları olsa da, Tor yerine İnternet’e koymak onları çok daha kolay çökerttiğinden, kendi sorunları da vardır.
Şu anda, bilinen tüm Clop clearweb şantaj siteleri çevrimdışı duruma getirildi.
Bu sitelerin kolluk kuvvetlerinin el koymaları, siber güvenlik firmaları tarafından yapılan DDoS saldırıları veya siteleri kapatan barındırma sağlayıcıları ve kayıt şirketleri nedeniyle kapalı olup olmadığı net değil.
Kapatılma kolaylığı nedeniyle, bu gasp taktiğinin çabaya değer olduğu şüphelidir.