Una semana después del arresto, el grupo de ransomware Cl0p arroja un nuevo lote de datos robados


Una semana después del arresto, el grupo de ransomware Cl0p arroja un nuevo lote de datos robados

Una semana después de que la policía ucraniana arrestara a criminales pertenecientes a la infame banda de ransomware Cl0p, Cl0p lanzó un nuevo lote de datos supuestamente confidenciales robados a una víctima previamente desconocida en un hack. Ars no identificará a la empresa potencialmente dañada hasta que se confirme que los datos y el hackeo son reales.

Si es real, el vertedero muestra que a pesar de las detenciones, Cl0p permanece intacto y es capaz de llevar a cabo sus nefastos actos. Esto sugiere que los sospechosos no son los líderes centrales, sino miembros u otras personas que desempeñan un papel menor en las operaciones.

Los datos son archivos de empleados, que incluyen comprobantes de empleo para solicitudes de préstamos y documentos relacionados con empleados cuyos salarios han sido incautados. No he podido confirmar que la información sea real y, de hecho, se extrajo durante un ataque de piratería a la empresa, aunque una investigación web descubrió que los nombres que figuran en los documentos coincidían con los nombres de las personas que trabajan para la empresa.

Los representantes de la empresa no respondieron a una solicitud de comentarios. Los miembros de Cl0p no respondieron a los correos electrónicos enviados a las direcciones que figuran en el sitio web del grupo en la web oscura.

Una amenaza existencial

Durante casi una década, el ransomware ha pasado de ser un inconveniente costoso a una amenaza existencial que puede cerrar hospitales e interrumpir el suministro de gasolina y carne. Bajo la presión de la administración Biden, el Departamento de Justicia de EE. UU. Está dando prioridad a los casos de ransomware federal. Biden también expresó su preocupación al presidente ruso, Vladimir Putin, por la propagación de ataques de ransomware por parte de grupos de habla rusa como Cl0p.

El arresto de seis personas relacionadas con Cl0p por parte de la policía ucraniana la semana pasada fue visto como un golpe de estado en algunos círculos, ya que fue la primera vez que un grupo nacional de aplicación de la ley llevó a cabo arrestos masivos que involucraron a un grupo de ransomware. Pero, como señaló la reportera de Wired Lily Hay Newman, es poco probable que se tome medidas enérgicas contra la epidemia de ransomware hasta que la propia Rusia haga lo mismo.

La nueva filtración confirma los límites de la respuesta actual del ransomware. Gran parte de la debilidad se puede atribuir a la descentralización de la economía del ransomware, que se basa en dos entidades importantes pero independientes. El primero es el grupo que administra el ransomware en sí mismo y, a menudo, forma parte de la infraestructura de Internet en la que se ejecuta.

La segunda instancia es el equipo de piratería que alquila el ransomware y comparte todos los ingresos con el mantenedor del ransomware. A menudo, un grupo tiene poco o ningún conocimiento del otro, por lo que desconectar a uno no tiene ningún efecto sobre el otro.

La lucha continúa

Además de las dificultades de la aplicación de la ley, muchos de los grupos viven en Rusia u otros países de Europa del Este que no tienen acuerdos de extradición con Estados Unidos.

Cl0p se vio por primera vez a principios de 2019. Los objetivos recientes incluyen la compañía petrolera Shell, el bufete de abogados internacional Jones Day, el banco estadounidense Flagstar y varias universidades estadounidenses, incluidas Stanford y la Universidad de California. A menudo, los piratas informáticos conectados aprovechan las vulnerabilidades del dispositivo de transferencia de archivos Accellion. También se ha observado que Cl0p ejecuta campañas de correo electrónico maliciosas generalizadas para identificar posibles víctimas corporativas. En muchos casos, las campañas utilizan datos robados de víctimas existentes para convencer mejor a los clientes, socios o proveedores de que crean que un correo electrónico malicioso es inofensivo.

La capacidad de Cl0p para publicar documentos filtrados después de los arrestos de la semana pasada sugiere que los sospechosos no eran miembros principales, sino afiliados o, como le dijo Intel 471 al reportero de seguridad Brian Krebs, «el lado de los pagos y el lavado de dinero de los CLOP estaban restringidos». sólo negocios ”. Y eso significa que la lucha contra este grupo y el flagelo de Internet al que pertenece continuará en el futuro previsible.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *