De Oekraïense nationale politie kondigde woensdag een reeks invallen aan die eindigden met de arrestatie van zes mensen die naar verluidt deel uitmaakten van de groep achter de Clop-ransomware.
De groep is verantwoordelijk voor enkele van de meest opvallende ransomware-aanvallen van de afgelopen twee jaar, met honderden slachtoffers, variërend van Shell en Kroger tot Stanford University, de University of Maryland en de University of Colorado. De Oekraïense politie zei dat de totale schade die door hun aanvallen is aangericht naar schatting $ 500 miljoen bedraagt.
De afdeling Cyberpolitie van de Oekraïense Nationale Politie heeft woensdagochtend een uitgebreid rapport uitgebracht over de invallen met foto's en video's. In samenwerking met Zuid-Koreaanse politieagenten, leden van Interpol en niet nader genoemde Amerikaanse agentschappen vielen agenten in Oekraïne 21 verschillende woningen in Kiev en nabijgelegen steden binnen.
Tijdens de inval werden naast ongeveer $ 185.000 ook tientallen computers en dure auto's in beslag genomen. Volgens het rapport is de serverinfrastructuur uit de lucht gehaald en zijn de huizen in beslag genomen. De zes gearresteerden riskeren een gevangenisstraf van maximaal acht jaar voor verschillende misdaden die verband houden met de ransomware-aanvallen van de groep en het witwassen van geld dat is binnengekomen met losgeld.
Oekraïense nationale politie
De Oekraïense nationale politie merkte op dat Zuid-Koreaanse functionarissen bijzonder geïnteresseerd waren in de inval vanwege ransomware-aanvallen die Clop in 2019 op vier Zuid-Koreaanse bedrijven lanceerde. Meer dan 800 interne servers en computers van de bedrijven raakten besmet bij de aanvallen.
De groep viel in november ook de Zuid-Koreaanse e-commercegigant E-Land aan, waardoor het bedrijf dagenlang lam lag. Clop-leden werden bekend door het aanvallen van bedrijven met behulp van oude versies van de Accellion FTA-server voor het delen van bestanden, zoals Bombardier.
De Reserve Bank of New Zealand, Washington State Auditor en cyberbeveiligingsbedrijf Qualys zijn slechts enkele van de slachtoffers die door Clop-leden zijn aangevallen via de Accellion-kwetsbaarheid.
Kim Bromley, senior cyber threat intelligence-analist bij Digital Shadows, zei dat de Clop-ransomware actief is sinds februari 2019 en zich over het algemeen richt op grote organisaties.
“Ondanks deelname aan de immer populaire dubbele afpersingstactiek, is het gerapporteerde activiteitenniveau van Clop relatief laag in vergelijking met die van 'REvil' (ook bekend als Sodinokibi) of 'Conti'”, legt Bromley uit.< /p>
Ondanks de pers rond de inval, merkten velen online op dat de leksite die door Clop-leden wordt gebruikt nog steeds in de lucht is. Een bron van cyberbeveiligingsbedrijf Intel 471 gooide koud water over de opwinding rond de inval in een interview met Bleeping Computer. Ze vertelden de nieuwszender dat ze niet denken dat een van de grote spelers achter Clop bij de inval is gearresteerd omdat ze in Rusland wonen. Ze voegden eraan toe dat de gearresteerden voornamelijk betrokken waren bij het witwassen van geld van de ransomware-operatie.
Clop kreeg bekendheid in 2020 nadat ze een losgeld van meer dan $ 20 miljoen eisten van Software AG, een van de grootste softwarebedrijven ter wereld. Meerdere cyberbeveiligingsbedrijven hebben gemeld dat Clop banden heeft met een malwaredistributiegroep genaamd TA505 en een cybercriminaliteitsgroep die bekend staat als FIN11.
Ransomwaregroepen worden wereldwijd strenger gecontroleerd door wetshandhavers, aangezien honderden organisaties blijven omgaan met de verlammende gevolgen van aanvallen.
Bromley merkte op dat vorige week de Avaddon-ransomware zijn activiteiten heeft stopgezet en de Ziggy-ransomware eerder dit jaar hetzelfde deed, wat aangeeft dat de toenemende druk van de wetshandhaving effect had.
“Arrestaties en operaties gericht op ransomware-infrastructuur moeten op korte termijn worden voortgezet om de druk op ransomware-operators te behouden”, voegde Bromley eraan toe.
Vectra CTO Oliver Tavakoli, zei dat invallen als deze een van de belangrijkste hefbomen zijn die kunnen worden gebruikt om het lucratieve ransomware-ecosysteem te verkleinen.
“Als de kans op repercussies groter wordt, zullen minder mensen betrokken raken bij ransomware”, zei Tavakoli. “Wanneer er periodieke verstoringen optreden in de toeleveringsketen van ransomware en soms losgeld wordt teruggevorderd (zoals de FBI onlangs deed met enkele van de losgeldbetalingen van de Colonial Pipeline), wordt ransomware zelf minder lucratief en worden er minder mensen bij betrokken.”< /p>
Andere experts noteerden de timing van de inval, die op dezelfde dag viel als de top tussen de Amerikaanse president Joe Biden en de Russische president Vladimir Poetin. Ransomware was een belangrijk gespreksonderwerp, zei Biden na de bijeenkomst.
“Dit is een gedurfde stap, vooral gezien de spanningen van Oekraïne met Rusland. Het zou beter zijn om te zien dat alomvattende wereldwijde wetshandhavingsinspanningen doorgang vinden”, zegt Hitesh Sheth, CEO van Vectra. “Cyberbeveiliging heeft kernwapens verdrongen als het belangrijkste veiligheidsprobleem van onze tijd voor supermachten. We kunnen hopen dat de Biden-Poetin-top leidt tot samenwerking en structurele vooruitgang op dit gebied.”
Ransomware is nu de grootste bedreiging voor cyberbeveiliging
Eenvoudige aanvallen plus de bereidheid van gebruikers om losgeld te betalen om hun bestanden terug te krijgen, betekent ransomware neemt toe, waarschuwen Kaspersky-onderzoekers.
Lees meer
Verwante onderwerpen:
Overheidsbeveiliging TV-gegevensbeheer CXO-datacenters 