Clop ransomware nhận trách nhiệm về các cuộc tấn công tống tiền MOVEit

302,525₫

Hướng dẫn mua sản phẩm
+ Ngày hội thử làm đối tác VIỆN

Nhóm ransomware Clop đã nói với BleepingComputer rằng họ đứng sau các cuộc tấn công đánh cắp dữ liệu MOVEit Transfer, trong đó lỗ hổng zero-day đã được khai thác để vi phạm các máy chủ thuộc "hàng trăm công ty" và đánh cắp dữ liệu.

Điều này xác nhận sự quy kết tối Chủ nhật của Microsoft cho nhóm hack mà họ theo dõi là 'Lace Tempest', còn được gọi là TA505 và FIN11.

Đại diện của Clop xác nhận thêm rằng họ bắt đầu khai thác lỗ hổng vào ngày 27 tháng 5, trong kỳ nghỉ dài ngày Ngày Tưởng niệm của Hoa Kỳ, như Mandiant đã tiết lộ trước đó.

Thực hiện các cuộc tấn công vào các ngày lễ là một chiến thuật phổ biến cho hoạt động của mã độc tống tiền Clop, trước đây đã thực hiện các cuộc tấn công khai thác quy mô lớn trong các ngày lễ khi nhân viên ở mức tối thiểu.

Ví dụ: họ đã khai thác lỗ hổng zero-day tương tự của Accellion FTA vào ngày 23 tháng 12 năm 2020 để đánh cắp dữ liệu ngay khi bắt đầu kỳ nghỉ lễ Giáng sinh.

Mặc dù Clop không chia sẻ số lượng tổ chức bị vi phạm trong các cuộc tấn công MOVEit Transfer, nhưng họ nói rằng nạn nhân sẽ được hiển thị trên trang web rò rỉ dữ liệu của họ nếu tiền chuộc không được trả.

Hơn nữa, nhóm ransomware xác nhận rằng chúng chưa bắt đầu tống tiền nạn nhân, có khả năng sử dụng thời gian để xem xét dữ liệu và xác định dữ liệu nào có giá trị cũng như cách sử dụng dữ liệu đó để thúc đẩy yêu cầu tiền chuộc từ các công ty bị vi phạm.

Trong các cuộc tấn công GoAnywhere MFT gần đây của băng đảng , Clop đã đợi hơn một tháng để gửi email yêu cầu tiền chuộc cho các tổ chức.

Cuối cùng, băng nhóm ransomware nói với BleepingComputer rằng chúng đã xóa mọi dữ liệu bị đánh cắp khỏi các chính phủ, quân đội và bệnh viện nhi trong các cuộc tấn công này.

"Tôi muốn nói ngay với bạn rằng quân đội, bệnh viện nhi đồng, Chính phủ, v.v. chúng tôi không tấn công như thế này, và dữ liệu của họ đã bị xóa," Clop nói trong email gửi tới BleepingComputer.

BleepingComputer không có cách nào xác nhận xem những tuyên bố này có chính xác hay không và giống như bất kỳ cuộc tấn công đánh cắp dữ liệu nào, tất cả các tổ chức bị ảnh hưởng nên coi đó là dữ liệu có nguy cơ bị lạm dụng.

Mặc dù Clop bắt đầu hoạt động như một phần mềm tống tiền, nhóm này trước đây đã nói với BleepingComputer rằng họ đang rời bỏ mã hóa và thay vào đó thích tống tiền bằng cách đánh cắp dữ liệu hơn.