Le gang de rançongiciels Clop copie une tactique d’extorsion de gang de rançongiciels ALPHV en créant des sites Web accessibles sur Internet dédiés à des victimes spécifiques, ce qui facilite la fuite de données volées et pousse davantage les victimes à payer une rançon.
Lorsqu’un gang de rançongiciels attaque une entreprise cible, il vole d’abord les données du réseau, puis chiffre les fichiers. Ces données volées sont utilisées comme levier dans les attaques de double extorsion, avertissant les victimes que les données seront divulguées si une rançon n’est pas payée.
Les sites de fuite de données de ransomwares sont généralement situés sur le réseau Tor, car il est plus difficile pour le site Web d’être supprimé ou pour les forces de l’ordre de saisir leur infrastructure.
Cependant, cette méthode d’hébergement présente ses propres problèmes pour les opérateurs de rançongiciels, car un navigateur Tor spécialisé est nécessaire pour accéder aux sites, les moteurs de recherche n’indexent pas les données divulguées et les vitesses de téléchargement sont généralement très lentes.
Pour surmonter ces obstacles, l’année dernière, l’opération de ransomware ALPHV, également connue sous le nom de BlackCat, a introduit une nouvelle tactique d’extorsion consistant à créer des sites Web en clair pour divulguer des données volées qui ont été promues comme un moyen pour les employés de vérifier si leurs données ont été divulguées.
Un site Web clearweb est hébergé directement sur Internet plutôt que sur des réseaux anonymes comme Tor, qui nécessitent un logiciel spécial pour y accéder.
Cette nouvelle méthode facilite l’accès aux données et entraînera probablement leur indexation par les moteurs de recherche, élargissant encore la diffusion des informations divulguées.
Le gang de rançongiciels Clop adopte une tactique
Mardi dernier, le chercheur en sécurité Dominic Alvieri a déclaré à Breachtrace que le gang de rançongiciels Clop avait commencé à créer des sites Web en clair pour divulguer les données volées lors des récentes et généralisées attaques de vol de données MOVEit Transfer.
Le premier site créé par les acteurs de la menace était pour la société de conseil aux entreprises PWC, créant un site Web qui a divulgué les données volées de l’entreprise dans quatre archives ZIP étendues.
Peu de temps après qu’Alvieri l’ait dit à Breachtrace , les acteurs de la menace ont également créé des sites Web pour Aon, EY (Ernst & Young), Kirkland et TD Ameritrade.
Aucun des sites de Clop n’est aussi sophistiqué que ceux créés par ALPHV l’année dernière, car ils répertorient simplement des liens pour télécharger les données plutôt que d’avoir une base de données consultable comme les sites de BlackCat.
Une perte de temps?
Ces sites visent à effrayer les employés, les cadres et les partenaires commerciaux susceptibles d’avoir été touchés par les données volées, en espérant que cela les amène à exercer une pression supplémentaire sur une entreprise pour qu’elle paie la rançon.
Cependant, bien qu’il puisse y avoir certains avantages à divulguer des données de cette manière, elles présentent également leurs propres problèmes, car les mettre sur Internet, plutôt que sur Tor, les rend beaucoup plus faciles à supprimer.
À l’heure actuelle, tous les sites d’extorsion Clop clearweb connus ont été mis hors ligne.
On ne sait pas si ces sites sont en panne en raison de saisies des forces de l’ordre, d’attaques DDoS par des entreprises de cybersécurité ou de fournisseurs d’hébergement et de bureaux d’enregistrement fermant les sites.
En raison de la facilité avec laquelle ils peuvent être fermés, il est douteux que cette tactique d’extorsion en vaille la peine.