Clop ransomware, förövaren bakom MOVEit Transfers leveranskedjasattacker, läcker nu den stulna informationen på internet.
I likhet med BlackCat ransomware har Clop nyligen skapat en enkel webbplats för att pressa sina offer bättre. Denna metod är effektivare än den nuvarande metoden att läcka genom darknet-sajter, som har begränsad räckvidd. Även om de är föremål för snabb borttagning vid upptäckt, och Clops platser har tagits bort när detta skrevs.
Clearnet-webbplatser för Clop Ransomware
Clop-gänget är en framstående hotaktör inom ransomware-området, som har slagit anmärkningsvärda företag och tjänat miljontals dollar i lösen. Nivå upp spelet, Clop ransomware har nyligen skapat en clearnet-webbplats för att dumpa all stulna data från dess MOVEit Transfer-försörjningskedjasattack.
Inledningsvis skapade de en dedikerad webbplats för dumpning av PWC:s data, där de delade dumpningen i fyra spännade ZIP-arkiv. Vem som helst på ytan med länkar till denna webbplats kan enkelt ladda ner stulna data, vilket utsätter företagets personal och kunder för risker.
Och dagar efter detta, hotet aktörer har också skapade webbplatser för Aon, EY (Ernst & Young), Kirkland och TD Ameritrade – listar all deras stulna data för offentliga nedladdningar. Även om den här tekniken hjälper Clop-gänget att utöva press på offren, är de inte så effektiva på detta sätt.
De listade dumparna är nedladdningsbara stora filer snarare än sökbara efter specifika objekt som BlackCat ransomware – som hade skapat en clearnet-webbplats förra året. Och eftersom sådana clearnet-webbplatser finns på ytan på internet kan de snabbt tas bort vid upptäckt.
När du skriver, alla clearnet-sajter för Clop ransomware togs ner – även om vi inte vet varför. Således är datadumpningen på clearnet-webbplatsen inte värt ansträngningen, även om den har fördelar.