La polizia nazionale ucraina ha annunciato mercoledì una serie di raid che si sono conclusi con l'arresto di sei persone presumibilmente parte del gruppo dietro il ransomware Clop.
Il gruppo è responsabile di alcuni degli attacchi ransomware più accattivanti visti negli ultimi due anni, con centinaia di vittime che vanno da Shell e Kroger alla Stanford University, all'Università del Maryland e all'Università del Colorado. La polizia ucraina ha affermato che il danno totale causato dai loro attacchi ammonta a circa 500 milioni di dollari.
Il dipartimento di polizia informatica della polizia nazionale ucraina ha rilasciato mercoledì mattina un lungo rapporto sui raid che includeva foto e video. Lavorando con agenti di polizia sudcoreani, membri dell'Interpol e agenzie statunitensi anonime, gli agenti in Ucraina hanno fatto irruzione in 21 diverse residenze a Kiev e nelle città vicine.
Durante il raid sono stati sequestrati decine di computer e auto costose oltre a circa 185.000 dollari. Il rapporto afferma che l'infrastruttura del server è stata rimossa e le case sono state sequestrate. Le sei persone arrestate rischiano fino a otto anni di carcere per una serie di reati legati agli attacchi ransomware del gruppo e al riciclaggio di denaro proveniente dai riscatti.
Polizia nazionale ucraina
La polizia nazionale ucraina ha notato che i funzionari sudcoreani erano particolarmente interessati alla raid a causa degli attacchi ransomware lanciati da Clop contro quattro società sudcoreane nel 2019. Negli attacchi sono stati infettati più di 800 server e computer interni delle società.
Il gruppo ha anche attaccato il colosso dell'e-commerce sudcoreano E-Land a novembre, paralizzando l'azienda per giorni. I membri di Clop sono diventati famosi per aver attaccato le aziende che utilizzano vecchie versioni del server di condivisione file Accellion FTA come Bombardier.
La Reserve Bank of New Zealand, il revisore dello stato di Washington e la società di sicurezza informatica Qualys sono solo alcune delle vittime attaccate dai membri del Clop attraverso la vulnerabilità Accellion.
Kim Bromley, analista senior di intelligence sulle minacce informatiche presso Digital Shadows, ha affermato che il ransomware Clop è attivo da febbraio 2019 e generalmente prende di mira grandi organizzazioni.
“Nonostante abbia preso parte alla sempre popolare tattica della doppia estorsione, il livello di attività riportato di Clop è relativamente basso se confrontato con artisti del calibro di 'REvil' (alias Sodinokibi) o 'Conti'”, ha spiegato Bromley.< /p>
Nonostante la stampa intorno al raid, molti online hanno notato che il sito di leak utilizzato dai membri di Clop è ancora attivo. Una fonte della società di sicurezza informatica Intel 471 ha gettato acqua fredda sull'eccitazione per il raid in un'intervista a Bleeping Computer. Hanno detto al notiziario che non pensano che nessuno dei principali attori dietro Clop sia stato arrestato nel raid perché vivono in Russia. Hanno aggiunto che le persone arrestate erano per lo più coinvolte nella parte del riciclaggio di denaro nell'operazione ransomware.
Clop è salito alla ribalta nel 2020 dopo aver chiesto un riscatto di oltre 20 milioni di dollari da Software AG, una delle più grandi società di software al mondo. Diverse società di sicurezza informatica hanno riferito che Clop ha legami con un gruppo di distribuzione di malware chiamato TA505 e un gruppo di criminalità informatica noto come FIN11.
I gruppi di ransomware stanno affrontando un maggiore controllo da parte delle forze dell'ordine a livello globale poiché centinaia di organizzazioni continuano a gestire il devastanti conseguenze degli attacchi.
Bromley ha notato che la scorsa settimana il ransomware Avaddon ha interrotto le sue operazioni e il ransomware Ziggy ha fatto lo stesso all'inizio di quest'anno, segnalando che la crescente pressione delle forze dell'ordine stava avendo un effetto.
“Gli arresti e le operazioni mirate all'infrastruttura ransomware devono continuare a breve termine, al fine di mantenere la pressione sugli operatori di ransomware”, ha aggiunto Bromley.
Il CTO di Vectra Oliver Tavakoli, ha affermato che raid come questo sono una delle leve chiave che possono essere utilizzate per ridurre il redditizio ecosistema di ransomware.
“Quando la probabilità di ripercussioni aumenterà, meno persone saranno coinvolte nel business del ransomware”, ha affermato Tavakoli. “Quando si verificano interruzioni periodiche nella catena di approvvigionamento del ransomware e talvolta i riscatti vengono reclamati (come ha fatto di recente l'FBI con alcuni pagamenti del riscatto della Colonial Pipeline), l'attività del ransomware stesso diventa meno redditizia e meno persone vi vengono coinvolte.”< /p>
Altri esperti hanno notato i tempi del raid, avvenuto lo stesso giorno del vertice tra il presidente degli Stati Uniti Joe Biden e il presidente russo Vladimir Putin. Il ransomware è stato un argomento di discussione significativo, ha detto Biden dopo l'incontro.
“Questa è una mossa audace, soprattutto date le tensioni dell'Ucraina con la Russia. Sarebbe meglio vedere gli sforzi globali di applicazione della legge prendere piede”, ha affermato Hitesh Sheth, CEO di Vectra. “La sicurezza informatica ha sostituito le armi nucleari come principale problema di sicurezza delle superpotenze della nostra epoca. Possiamo sperare che il vertice Biden-Putin porti alla cooperazione e al progresso strutturale in questo settore.”
Il ransomware è ora la più grande minaccia alla sicurezza informatica
Attacchi semplici e la disponibilità dell'utente a pagare un riscatto per riavere i propri file significa ransomware è in aumento, avvertono i ricercatori di Kaspersky.
Ulteriori informazioni
Argomenti correlati:
Government Security TV Data Management CXO Data Center 