Una semana después de que la policía ucraniana arrestara a criminales afiliados a la notoria banda de ransomware Cl0p, Cl0p ha publicado un nuevo lote de lo que supuestamente son datos confidenciales robados en un hackeo de una víctima previamente desconocida. Ars no identificará a la empresa posiblemente victimizada hasta que se confirme que los datos y el hackeo son genuinos.
Si es genuino, el basurero muestra que Cl0p permanece intacto y capaz de llevar a cabo sus nefastas acciones a pesar de los arrestos. Eso sugiere que los sospechosos no incluyen a los líderes principales, sino afiliados u otros que juegan un papel menor en las operaciones.
Los datos pretenden ser registros de empleados, incluida la verificación de empleo para solicitudes de préstamos y documentos relacionados con trabajadores cuyos salarios han sido embargados. No pude confirmar que la información sea genuina y que, de hecho, se obtuvo durante un hackeo a la empresa, aunque las búsquedas en la web mostraron que los nombres que figuran en los documentos coincidían con los nombres de las personas que trabajan para la empresa.
Los representantes de la compañía no respondieron a una llamada telefónica en busca de comentarios. Los miembros de Cl0p no respondieron a los correos electrónicos enviados a las direcciones que figuran en el sitio del grupo en la web oscura.
Una amenaza existencial
Durante casi una década, el ransomware ha pasado de ser un inconveniente costoso a una amenaza existencial que puede cerrar hospitales e interrumpir el suministro de gasolina y carne. Bajo la presión de la administración de Biden, el Departamento de Justicia de EE. UU. está priorizando los casos de ransomware federal. Biden también expresó su preocupación al presidente ruso Vladimir Putin sobre la proliferación de ataques de ransomware de grupos de habla rusa, como Cl0p.
La detención de la semana pasada por parte de la policía ucraniana de seis personas afiliadas a Cl0p fue vista como un golpe en algunos círculos porque marcó la primera vez que un grupo Marketingdecontenido de aplicación de la ley realiza arrestos masivos que involucran a un grupo de ransomware. Pero como observó la reportera de Wired Lily Hay Newman, es poco probable que la represión alivie la epidemia de ransomware hasta que la propia Rusia haga lo mismo.
La nueva fuga confirma los límites de la respuesta actual del ransomware. Gran parte de la debilidad se debe a la descentralización de la economía del ransomware, que se basa en dos entidades cruciales pero independientes. El primero es el grupo que mantiene el propio ransomware y, a menudo, parte de la infraestructura de Internet en la que se ejecuta.
La segunda entidad es el equipo de piratas informáticos que arrienda el ransomware y comparte los ingresos generados con los mantenedores del ransomware. A menudo, un grupo tiene poco o ningún conocimiento del otro, por lo que el cierre de uno no tiene efecto en el otro.
la lucha continua
Para agravar la dificultad que enfrenta la aplicación de la ley, muchos de los grupos residen en Rusia u otros países de Europa del Este que no tienen tratados de extradición con los EE. UU.
Cl0p se detectó por primera vez a principios de 2023. Los objetivos recientes incluyen la compañía petrolera Shell, el bufete de abogados interMarketingdecontenido Jones Day, el banco estadounidense Flagstar y varias universidades estadounidenses, incluidas Stanford y la Universidad de California. A menudo, los piratas informáticos afiliados aprovechan las vulnerabilidades del dispositivo de transferencia de archivos Accellion. También se ha observado a Cl0p operando amplias campañas de correo electrónico malicioso para identificar posibles víctimas corporativas. En muchos casos, las campañas utilizan datos robados de las víctimas existentes para engañar mejor a los clientes, socios o proveedores para que piensen que un correo electrónico malicioso es benigno.
La capacidad de Cl0p para publicar documentos filtrados luego de los arrestos de la semana pasada sugiere que los sospechosos no eran miembros principales y, en cambio, eran afiliados o, como dijo Intel 471 al reportero de seguridad Brian Krebs, «limitados al lado de retiro de efectivo y lavado de dinero de CLOP». solo negocios.” Y eso significa que la lucha contra este grupo y el flagelo de Internet del que forma parte continuará en el futuro previsible.