Похищенные данные увидят все: вымогатели Clop переходят на открытые сайты утечки

Пару дней назад исследователи кибербезопасности начали замечать , что вымогательская группировка Clop скопировала тактику своих конкурентов из группы ALPHV и создала открытые веб-сайты утечки, доступные без Tor-подключения и посвящённые конкретным организациям-жертвам. Таким образом злоумышленники пытаются ускорить утечку похищенных данных и давить на жертв, чтобы те быстрее заплатили выкуп.

Когда вымогатели Clop атакуют корпоративную сеть, они сначала крадут данные с серверов компании, а затем уже шифруют их для затруднения доступа. Украденные данные позже используются как рычаг для двойного вымогательства, где жертвам угрожают опубликовать их конфиденциальные данные в открытый доступ, если они не заплатят выкуп.

Веб-сайты для утечки данных обычно расположены в сети Tor, так как это затрудняет их блокировку или изъятие инфраструктуры правоохранительными органами. Однако этот способ размещения имеет свои недостатки для операторов вымогательского ПО, так как для доступа к сайтам требуется специализированный браузер Tor, а поисковые системы не индексируют утекшие данные. Кроме того, скорость загрузки на таких сайтах обычно довольно низкая.

Чтобы преодолеть эти препятствия, в прошлом году группа ALPHV, также известная как BlackCat, ввела новую тактику вымогательства — создание открытых веб-сайтов для утечки похищенных данных, которые «рекламировались» как способ для простых сотрудников взломанного предприятия проверить, не попали ли их данные в руки хакеров. Для доступа к таким сайтам не требуется специальное ПО, так как они доступны из обычного Интернета.

Данный метод существенно облегчает доступ к данным и, вероятно, приведёт к тому, что они будут оперативно проиндексированы поисковыми системами, что расширит распространение утекшей информации по Интернету.

Первый сайт, созданный злоумышленниками Clop, был посвящён консалтинговой фирме PWC Australia. На сайте были размещены четыре ZIP-архива с украденными данными компании. Вскоре после этого злоумышленники также создали сайты для Aon, Ernst and Young, Ameritrade и нескольких других организаций.

Сайты Clop не такие продвинутые, как те, что создавали ALPHV в прошлом году, и просто содержат ссылки для загрузки данных. В то время как авторы вредоноса BlackCat в своё заморочились с полноценной поисковой базой данных на своих сайтах.

Подобные сайты призваны напугать сотрудников, руководителей и бизнес-партнёров компании, которые могли пострадать от утечки данных. Так как они легко могли обнаружить в архивах свои личные данные, они могли бы начать давить на компанию, чтобы та заплатила хакерам выкуп.

Однако, несмотря на некоторые преимущества такого способа утечки данных, он также имеет свои существенные недостатки, так как размещая их в Интернете, а не в Tor, их гораздо легче закрыть. Поэтому на данный момент все известные открытые сайты Clop для вымогательства были отключены.

Неясно, произошло ли это из-за соответствующего постановления правоохранительными органами, DDoS-атак со стороны компаний по кибербезопасности или из-за того, что хостинг-провайдеры и регистраторы доменов заблокировали сайты самостоятельно. Тем не менее, из-за лёгкости, с которой подобные открытые сайты можно закрыть, есть некоторые сомнения, что эта тактика вымогательства действительно стоит затраченных усилий.