Die ukrainische Nationalpolizei kündigte am Mittwoch eine Reihe von Razzien an, die mit der Festnahme von sechs Personen endeten, die angeblich zu der Gruppe gehören, die hinter der Ransomware Clop steckt.
Die Gruppe ist für einige der schlagzeilenträchtigsten Ransomware-Angriffe der letzten zwei Jahre verantwortlich, mit Hunderten von Opfern, von Shell und Kroger bis zur Stanford University, der University of Maryland und der University of Colorado. Die ukrainische Polizei gab an, dass sich der Gesamtschaden ihrer Angriffe auf schätzungsweise 500 Millionen US-Dollar beläuft.
Die Cyberpolizeiabteilung der ukrainischen Nationalpolizei veröffentlichte am Mittwochmorgen einen ausführlichen Bericht über die Razzien, der Fotos und Videos enthielt. In Zusammenarbeit mit südkoreanischen Polizeibeamten, Mitgliedern von Interpol und ungenannten US-Behörden durchsuchten Beamte in der Ukraine 21 verschiedene Wohnungen in Kiew und nahe gelegenen Städten.
Bei der Razzia wurden Dutzende Computer und teure Autos sowie etwa 185.000 US-Dollar beschlagnahmt. Dem Bericht zufolge wurde die Serverinfrastruktur abgebaut und die Häuser beschlagnahmt. Den sechs Festgenommenen drohen bis zu acht Jahre Haft wegen einer Vielzahl von Straftaten im Zusammenhang mit den Ransomware-Angriffen der Gruppe und der Wäsche von Lösegeldern.
Die ukrainische Nationalpolizei
Die ukrainische Nationalpolizei stellte fest, dass südkoreanische Beamte besonders an den Ransomware-Angriffe von Clop auf vier südkoreanische Unternehmen im Jahr 2019. Mehr als 800 interne Server und Computer der Unternehmen wurden bei den Angriffen infiziert.
Die Gruppe griff im November auch den südkoreanischen E-Commerce-Riesen E-Land an und lähmte das Unternehmen tagelang. Clop-Mitglieder wurden dafür bekannt, dass sie Unternehmen angreifen, die alte Versionen des Accellion FTA-Filesharing-Servers wie Bombardier verwenden.
Die Reserve Bank of New Zealand, der Washington State Auditor und das Cybersicherheitsunternehmen Qualys sind nur einige der Opfer, die von Clop-Mitgliedern durch die Sicherheitslücke Accellion angegriffen wurden.
Kim Bromley, Senior Cyber Threat Intelligence Analyst bei Digital Shadows, sagte, dass die Clop-Ransomware seit Februar 2019 aktiv ist und im Allgemeinen auf große Unternehmen abzielt.
“Obwohl Clop an der allseits beliebten Taktik der Doppelerpressung teilnimmt, ist das gemeldete Aktivitätsniveau von Clop im Vergleich zu 'REvil' (alias Sodinokibi) oder 'Conti' relativ niedrig”, erklärte Bromley.< /p>
Trotz der Presse rund um die Razzia stellten viele im Internet fest, dass die von Clop-Mitgliedern verwendete Leak-Site immer noch aktiv ist. Eine Quelle des Cybersicherheitsunternehmens Intel 471 warf in einem Interview mit Bleeping Computer kaltes Wasser auf die Aufregung um die Razzia. Sie sagten der Nachrichtenagentur, dass sie nicht glauben, dass einer der Hauptakteure hinter Clop bei der Razzia festgenommen wurde, weil sie in Russland leben. Sie fügten hinzu, dass die festgenommenen Personen hauptsächlich in den Geldwäsche-Teil der Ransomware-Operation verwickelt waren.
Clop wurde im Jahr 2020 bekannt, nachdem sie von der Software AG, einem der größten Softwareunternehmen der Welt, ein Lösegeld von mehr als 20 Millionen US-Dollar forderten. Mehrere Cybersicherheitsunternehmen haben berichtet, dass Clop Verbindungen zu einer Malware-Verteilergruppe namens TA505 und einer Cyberkriminalitätsgruppe namens FIN11 unterhält.
Ransomware-Gruppen werden von den Strafverfolgungsbehörden weltweit verstärkt überwacht, da Hunderte von Unternehmen weiterhin mit dem lähmende Nachwirkungen von Angriffen.
Bromley stellte fest, dass die Avaddon-Ransomware letzte Woche ihren Betrieb eingestellt hatte und die Ziggy-Ransomware Anfang des Jahres dasselbe tat, was darauf hindeutet, dass der zunehmende Druck der Strafverfolgungsbehörden Wirkung zeigt.
“Die Festnahmen und Operationen gegen die Ransomware-Infrastruktur müssen kurzfristig fortgesetzt werden, um den Druck auf die Ransomware-Betreiber aufrechtzuerhalten”, fügte Bromley hinzu.
Vectra CTO Oliver Tavakoli sagte, dass Razzien wie dieser einer der wichtigsten Hebel sind, um das lukrative Ransomware-Ökosystem zu verkleinern.
“Wenn die Wahrscheinlichkeit von Auswirkungen steigt, werden weniger Leute in das Geschäft mit Ransomware hineingezogen”, sagte Tavakoli. „Wenn es in der Lieferkette von Ransomware zu regelmäßigen Unterbrechungen kommt und manchmal Lösegelder zurückgefordert werden (wie das FBI kürzlich bei einigen Lösegeldzahlungen der Colonial Pipeline getan hat), wird das Geschäft mit Ransomware selbst weniger lukrativ und es werden weniger Menschen in das Geschäft hineingezogen.“< /p>
Andere Experten stellten den Zeitpunkt der Razzia fest, die am selben Tag wie das Gipfeltreffen zwischen US-Präsident Joe Biden und dem russischen Präsidenten Wladimir Putin stattfand. Ransomware sei ein wichtiges Diskussionsthema, sagte Biden nach dem Treffen.
„Dies ist ein mutiger Schritt, insbesondere angesichts der Spannungen der Ukraine mit Russland. Es wäre besser, wenn umfassende globale Strafverfolgungsmaßnahmen ergriffen würden“, sagte Hitesh Sheth, CEO von Vectra. „Die Cybersicherheit hat Nuklearwaffen als das wichtigste Sicherheitsproblem unserer Zeit für Supermächte verdrängt. Wir können hoffen, dass der Biden-Putin-Gipfel zu Kooperation und strukturellen Fortschritten in diesem Bereich führt.“
Ransomware ist jetzt die größte Cybersicherheitsbedrohung
Einfache Angriffe plus die Bereitschaft der Benutzer, Lösegeld zu zahlen, um ihre Dateien zurückzubekommen, bedeutet Ransomware ist auf dem Vormarsch, warnen Kaspersky-Forscher.
Weiterlesen
Verwandte Themen:
Regierungssicherheit TV-Datenverwaltung CXO-Rechenzentren 