Det ukrainske nasjonale politiet kunngjorde en serie raid på onsdag som endte med arrestasjonen av seks personer som angivelig var en del av gruppen bak Clop-løsepenger.
Gruppen er ansvarlig for noen av de mest overtakende ransomware-angrepene som er sett de siste to årene, med hundrevis av ofre som strekker seg fra Shell og Kroger til Stanford University, University of Maryland og University of Colorado. Ukrainsk politi sa at den totale skaden som ble gjort av angrepene deres anslås til anslagsvis 500 millioner dollar.
Cyberpolice Department of the Ukrainian National Police publiserte en langvarig rapport onsdag morgen om raidene som inkluderte bilder og video. Arbeid med sørkoreanske politibetjenter, medlemmer av Interpol og ikke navngitte amerikanske byråer, betjente offiserer i Ukraina 21 forskjellige boliger i Kiev og nærliggende byer.
Under raidet ble det beslaglagt dusinvis av datamaskiner og dyre biler i tillegg til rundt $ 185.000. Rapporten sa at serverinfrastruktur ble tatt ned og hjemmene ble beslaglagt. De seks pågrepne får opptil åtte års fengsel for en rekke forbrytelser knyttet til gruppens løsepengeangrep og hvitvasking av penger hentet fra løsepenger.
Ukranian National Police
Ukranian National Police bemerket at sørkoreanske tjenestemenn var spesielt interessert i raid på grunn av ransomware-angrep lansert av Clop mot fire sørkoreanske selskaper i 2019. Mer enn 800 interne servere og datamaskiner fra selskapene ble smittet i angrepene.
Gruppen angrep også den sørkoreanske e-handelsgiganten E-Land i november, og lammet selskapet i flere dager. Clop-medlemmer ble kjent for å angripe selskaper som bruker gamle versjoner av Accellion FTA-fildelingsserveren som Bombardier.
Reserve Bank of New Zealand, Washington State Auditor og cybersikkerhetsfirma Qualys er bare noen få av ofrene som ble angrepet av Clop-medlemmer gjennom Accellion-sårbarheten.
Kim Bromley, senior cybertrussel-intelligensanalytiker ved Digital Shadows, sa at Clop-løsepenger har vært aktiv siden februar 2019 og generelt retter seg mot store organisasjoner.
“Til tross for å delta i den stadig populære taktikken med dobbel utpressing, er Clops rapporterte aktivitetsnivå relativt lavt sammenlignet med slike som” REvil “(også kalt Sodinokibi) eller” Conti “, forklarte Bromley./p>
Til tross for pressen rundt raidet bemerket mange på nettet at lekkasjesiden som ble brukt av Clop-medlemmer fortsatt er oppe. En kilde fra cybersikkerhetsselskapet Intel 471 kastet kaldt vann på spenningen rundt raidet i et intervju med Bleeping Computer. De fortalte nyhetsuttaket at de ikke tror noen av de store aktørene bak Clop ble arrestert i raidet fordi de bor i Russland. De la til at de arresterte for det meste var involvert i hvitvaskingsdelen av løsepengevirksomheten.
Clop steg frem i 2020 etter at de krevde løsepenger på mer enn 20 millioner dollar fra Software AG, et av de største programvareselskapene i verden. Flere cybersecurity-selskaper har rapportert at Clop har tilknytning til en skadedistribusjonsgruppe som heter TA505 og en cyberkriminalitetsgruppe kjent som FIN11. lammende ettervirkninger av angrep.
Bromley bemerket at forrige uke stengte Avaddon ransomware sin virksomhet, og Ziggy ransomware gjorde det samme tidligere i år, og signaliserte at det økende lovhåndhevelsespresset hadde en effekt.
“Arrestasjoner og operasjoner rettet mot ransomware-infrastruktur må fortsette på kort sikt for å opprettholde presset på ransomware-operatører,” la Bromley til.
Vectra CTO Oliver Tavakoli, sa raid som dette er en av nøkkelhendlene som kan brukes til å krympe det lukrative ransomware-økosystemet.
“Når sannsynligheten for konsekvenser øker, vil færre mennesker trekkes inn i løsningen på løsepenger,” sa Tavakoli. “Når periodiske forstyrrelser oppstår i forsyningskjeden av løsepenger og noen ganger gjenløsninger blir gjenvunnet (slik FBI nylig gjorde med noen av løsepenger for Colonial Pipeline), blir løsepengevirksomheten i seg selv mindre innbringende og færre mennesker blir dratt inn i den.”
Andre eksperter bemerket tidspunktet for raidet, som kom samme dag som toppmøtet mellom USAs president Joe Biden og Russlands president Vladimir Putin. Ransomware var et viktig diskusjonstema, sa Biden etter møtet.
“Dette er et dristig grep, spesielt med tanke på Ukrainas spenninger med Russland. Det ville være bedre å se omfattende global rettshåndhevelsesinnsats ta tak,” sa Hitesh Sheth, administrerende direktør i Vectra. “Cybersikkerhet har fortrengt atomvåpen som det fremste sikkerhetsspørsmålet for supermakt i vår tid. Vi kan håpe Biden-Putin-toppmøtet fører til samarbeid og strukturell fremgang på dette området.”
Ransomware er nå den største cybersikkerhetstrusselen
Enkle angrep pluss brukervillighet til å betale løsepenger for å få tilbake filene, betyr ransomware øker, advarer Kaspersky-forskere.
Les mer
Relaterte emner:
Government Security TV Data Management CXO Data Centers 