Le ransomware Clop utilise désormais des torrents pour divulguer des données et échapper aux retraits

Le gang du ransomware Clop a une fois de plus modifié ses tactiques d'extorsion et utilise désormais des torrents pour divulguer les données volées lors des attaques MOVEit.

À partir du 27 mai, le groupe de ransomwares Clop a lancé une vague d'attaques de vol de données exploitant une vulnérabilité Zero Day de la plateforme de transfert de fichiers sécurisé MOVEit Transfer.

L’exploitation de ce jour zéro a permis aux acteurs malveillants de voler les données de près de 600 organisations dans le monde avant de se rendre compte qu’elles avaient été piratées.

Le 14 juin, le groupe de ransomwares a commencé à extorquer ses victimes, ajoutant lentement des noms à son site de fuite de données Tor et finissant par rendre publics les fichiers.

Cependant, la fuite de données via un site Tor présente certains inconvénients, car la vitesse de téléchargement est lente, ce qui rend la fuite, dans certains cas, moins dommageable qu'elle pourrait l'être s'il était plus facile d'accéder aux données.

Pour surmonter ce problème, Clop a créé des sites ClearWeb pour divulguer des vols volés à certaines des victimes de vol de données MOVEit, mais ces types de domaines sont plus faciles à supprimer pour les forces de l'ordre et les entreprises.

Comme nouvelle solution à ces problèmes, Clop a commencé à utiliser des torrents pour distribuer les données volées lors de l'attaque MOVEit.

Selon le chercheur en sécurité Dominic Alvieri, qui a été le premier à repérer cette nouvelle tactique, des torrents ont été créés pour vingt victimes, dont Aon, K&L Gates, Putnam, Delaware Life, Zurich Brésil et Heidelberg.

Dans le cadre de cette nouvelle méthode d'extorsion, Clop a mis en place un nouveau site Tor fournissant des instructions sur la façon d'utiliser les clients torrent pour télécharger les données divulguées et des listes de liens magnétiques pour les vingt victimes.

Comme les torrents utilisent le transfert peer-to-peer entre différents utilisateurs, les vitesses de transfert sont plus rapides que celles des sites de fuite de données Tor traditionnels.

Lors d'un bref test réalisé par BleepingComputer, cette méthode a résolu les problèmes de transfert de données médiocres, car nous recevions des vitesses de transfert de données de 5,4 Mbps, même si elles ne provenaient que d'une seule adresse IP en Russie.

De plus, comme cette méthode de distribution est décentralisée, il n’existe pas de moyen simple pour les forces de l’ordre de la mettre fin. Même si le seeder d'origine est mis hors ligne, un nouvel appareil peut être utilisé pour seeder les données volées si nécessaire.

Si cela s'avère efficace pour Clop, nous les verrons probablement continuer à utiliser cette méthode pour divulguer des données, car elle est plus facile à configurer, ne nécessite pas de site Web complexe et peut exercer une pression supplémentaire sur les victimes en raison du potentiel accru de distribution plus large des données volées.

Coveware affirme que Clop devrait gagner entre 75 et 100 millions de dollars en paiements d'extorsion. Non pas parce que de nombreuses victimes paient, mais parce que les auteurs de la menace ont réussi à convaincre un petit nombre d’entreprises de payer des rançons très élevées.

Il reste à déterminer si l’utilisation des torrents entraînera ou non davantage de paiements ; cependant, avec ces revenus, cela n’a peut-être pas d’importance.

8 millions de personnes touchées par une violation de données chez Maximus, un entrepreneur du gouvernement américain

Le géant de la beauté Estée Lauder piraté par deux gangs de ransomwares

Le gang Clop gagnera plus de 75 millions de dollars grâce aux attaques d'extorsion de MOVEit

La semaine des ransomwares - 16 juin 2023 - Vague d'extorsion

Le gouvernement américain offre une prime de 10 millions de dollars pour des informations sur le ransomware Clop