Clop fidye yazılımı çetesi, gasp taktiklerini bir kez daha değiştirdi ve şimdi MOVEit saldırılarında çalınan verileri sızdırmak için torrentleri kullanıyor.
27 Mayıs’tan itibaren Clop fidye yazılımı çetesi, MOVEit Transfer güvenli dosya aktarım platformundaki sıfırıncı gün güvenlik açığından yararlanarak bir veri hırsızlığı saldırıları dalgası başlattı.
Bu sıfır günden yararlanmak, tehdit aktörlerinin saldırıya uğradıklarını fark etmeden önce dünya çapında yaklaşık 600 kuruluştan veri çalmasına olanak sağladı.
14 Haziran’da fidye yazılımı çetesi kurbanlarından şantaj yapmaya başladı, yavaş yavaş Tor veri sızıntısı sitelerine isimler ekledi ve sonunda dosyaları herkese açık bir şekilde yayınladı.
Bununla birlikte, bir Tor sitesi aracılığıyla veri sızdırmanın bazı dezavantajları vardır, çünkü indirme hızı yavaştır ve bazı durumlarda sızıntıya, verilere erişimin daha kolay olması durumunda olabileceği kadar zarar vermemesine neden olur.
Bunun üstesinden gelmek için Clop, bazı MOVEit veri hırsızlığı kurbanları için çalınan net web siteleri oluşturdu, ancak bu tür alan adlarının yasa uygulayıcılar ve şirketler tarafından kaldırılması daha kolaydır.
Torrentlere geçiş
Bu sorunlara yeni bir çözüm olarak Clop, MOVEit saldırısından çalınan verileri dağıtmak için torrentleri kullanmaya başladı.
Güvenlik araştırmacısına göre Dominik AlvieriBu yeni taktiği ilk fark eden Aon, K&L Gates, Putnam, Delaware Life, Zurich Brazil ve Heidelberg dahil olmak üzere yirmi kurban için torrentler oluşturuldu.
Bu yeni gasp yönteminin bir parçası olarak Clop, yirmi kurban için sızan verileri ve mıknatıs bağlantı listelerini indirmek için torrent istemcilerinin nasıl kullanılacağına ilişkin talimatlar sağlayan yeni bir Tor sitesi kurdu.
Torrentler, farklı kullanıcılar arasında eşler arası aktarımı kullandığından, aktarım hızları, geleneksel Tor veri sızıntısı sitelerinden daha yüksektir.
BleepingComputer tarafından yapılan kısa bir testte, Rusya’da yalnızca bir IP adresinden kaynaklanmış olmasına rağmen 5,4 Mbps veri aktarım hızları aldığımız için bu yöntem zayıf veri aktarım sorunlarını çözdü.
Ayrıca, bu dağıtım yöntemi merkezden dağıtıldığından, kolluk kuvvetlerinin onu kapatmasının kolay bir yolu yoktur. Orijinal ekme makinesi çevrimdışı olsa bile, gerektiğinde çalınan verileri tohumlamak için yeni bir cihaz kullanılabilir.
Bu, Clop için başarılı olursa, kurulumu daha kolay olduğundan, karmaşık bir web sitesi gerektirmediğinden ve çalınan verilerin daha geniş bir şekilde dağıtılması için artan potansiyel nedeniyle kurbanlara daha fazla baskı uygulayabileceğinden, verileri sızdırmak için bu yöntemi kullanmaya devam edeceklerini muhtemelen göreceğiz.
Coveware, Clop’un haraç ödemelerinden 75-100 milyon dolar kazanmasının beklendiğini söylüyor. Pek çok kurban ödeme yaptığı için değil, tehdit aktörleri az sayıda şirketi çok büyük fidye talepleri ödemeye başarıyla ikna ettiği için.
Torrent kullanımının daha fazla ödemeye yol açıp açmayacağı henüz belirlenmedi; ancak, bu kazançlarla önemli olmayabilir.