Le gang de rançongiciels Clop a une fois de plus modifié les tactiques d’extorsion et utilise maintenant des torrents pour divulguer des données volées lors d’attaques MOVEit.
À partir du 27 mai, le gang de rançongiciels Clop a lancé une vague d’attaques de vol de données exploitant une vulnérabilité zero-day dans la plateforme de transfert de fichiers sécurisé MOVEit Transfer.
L’exploitation de ce zero-day a permis aux acteurs de la menace de voler les données de près de 600 organisations dans le monde avant de réaliser qu’elles avaient été piratées.
Le 14 juin, le gang de rançongiciels a commencé à extorquer ses victimes, ajoutant lentement des noms à leur site de fuite de données Tor et finalement en publiant les fichiers.
Cependant, la fuite de données via un site Tor présente certains inconvénients, car la vitesse de téléchargement est lente, ce qui rend la fuite, dans certains cas, moins dommageable qu’elle pourrait l’être s’il était plus facile d’accéder aux données.
Pour surmonter cela, Clop a créé des sites Web clairs à voler pour certaines des victimes de vol de données MOVEit, mais ces types de domaines sont plus faciles à supprimer pour les forces de l’ordre et les entreprises.
Passer aux torrents
Comme nouvelle solution à ces problèmes, Clop a commencé à utiliser des torrents pour distribuer les données volées lors de l’attaque MOVEit.
Selon le chercheur en sécurité Dominic Alvieri, qui a été le premier à repérer cette nouvelle tactique, des torrents ont été créés pour vingt victimes, dont Aon, K & L Gates, Putnam, Delaware Life, Zurich Brazil et Heidelberg.
Dans le cadre de cette nouvelle méthode d’extorsion, Clop a mis en place un nouveau site Tor fournissant des instructions sur la façon d’utiliser les clients torrent pour télécharger les données divulguées et des listes de liens magnétiques pour les vingt victimes.
Comme les torrents utilisent le transfert peer-to-peer entre différents utilisateurs, les vitesses de transfert sont plus rapides que les sites de fuite de données Tor traditionnels.
Lors d’un bref test réalisé par Breachtrace, cette méthode a résolu les problèmes de transfert de données médiocres, car nous recevions des vitesses de transfert de données de 5,4 Mbps, même si elle n’était amorcée qu’à partir d’une adresse IP en Russie.
De plus, comme cette méthode de distribution est décentralisée, il n’y a pas de moyen facile pour les forces de l’ordre de l’arrêter. Même si le semoir d’origine est mis hors ligne, un nouvel appareil peut être utilisé pour semer les données volées si nécessaire.
Si cela s’avère fructueux pour Clop, nous les verrons probablement continuer à utiliser cette méthode pour divulguer des données, car elle est plus facile à configurer, ne nécessite pas de site Web complexe et peut exercer une pression supplémentaire sur les victimes en raison du potentiel accru de diffusion plus large des données volées.
Coveware dit que Clop devrait gagner entre 75 et 100 millions de dollars en paiements d’extorsion. Non pas parce que de nombreuses victimes paient, mais parce que les acteurs de la menace ont réussi à convaincre un petit nombre d’entreprises de payer des demandes de rançon très importantes.
Il reste à déterminer si l’utilisation de torrents entraînera ou non plus de paiements ; cependant, avec ces gains, cela n’a peut-être pas d’importance.