Geng ransomware Clop menyalin taktik pemerasan geng ransomware ALPHV dengan membuat situs web yang dapat diakses Internet yang didedikasikan untuk korban tertentu, membuatnya lebih mudah untuk membocorkan data yang dicuri dan selanjutnya menekan korban untuk membayar uang tebusan.
Saat geng ransomware menyerang target perusahaan, mereka pertama-tama mencuri data dari jaringan dan kemudian mengenkripsi file. Data yang dicuri ini digunakan sebagai pengungkit dalam serangan pemerasan ganda, memperingatkan korban bahwa data akan bocor jika uang tebusan tidak dibayarkan.
Situs kebocoran data ransomware biasanya terletak di jaringan Tor karena mempersulit situs web untuk dihapus atau penegak hukum menyita infrastrukturnya.
Namun, metode hosting ini memiliki masalahnya sendiri untuk operator ransomware, karena browser Tor khusus diperlukan untuk mengakses situs, mesin pencari tidak mengindeks data yang bocor, dan kecepatan pengunduhan biasanya sangat lambat.
Untuk mengatasi kendala tersebut, tahun lalu, operasi ransomware ALPHV, juga dikenal sebagai BlackCat, memperkenalkan taktik pemerasan baru membuat situs web clearweb untuk membocorkan data yang dicuri yang dipromosikan sebagai cara bagi karyawan untuk memeriksa apakah data mereka bocor.
Situs web clearweb dihosting langsung di Internet daripada di jaringan anonim seperti Tor, yang memerlukan perangkat lunak khusus untuk mengaksesnya.
Metode baru ini memudahkan untuk mengakses data dan kemungkinan besar akan menyebabkannya diindeks oleh mesin pencari, semakin memperluas penyebaran informasi yang bocor.
Clop ransomware geng mengadopsi taktik
Selasa lalu, peneliti keamanan Dominic Alvieri mengatakan kepada BleepingComputer bahwa geng ransomware Clop telah mulai membuat situs web clearweb untuk membocorkan data yang dicuri selama serangan baru-baru ini dan tersebar luas. MOVEit Mentransfer serangan pencurian data.
Situs pertama yang dibuat oleh pelaku ancaman adalah untuk perusahaan konsultan bisnis PWC, membuat situs web yang membocorkan data perusahaan yang dicuri dalam empat arsip ZIP yang terbentang.
Segera setelah Alvieri memberi tahu BleepingComputer, pelaku ancaman juga membuat situs web untuk Aon, EY (Ernst & Young), Kirkland, dan TD Ameritrade.
Tidak ada situs Clop yang secanggih yang dibuat oleh ALPHV tahun lalu, karena mereka hanya mencantumkan tautan untuk mengunduh data daripada memiliki database yang dapat dicari seperti situs BlackCat.
Sumber: BleepingComputer
Buang-buang waktu?
Situs-situs ini bertujuan untuk menakut-nakuti karyawan, eksekutif, dan mitra bisnis yang mungkin terpengaruh oleh data yang dicuri, dengan harapan hal itu menyebabkan mereka semakin menekan perusahaan untuk membayar uang tebusan.
Namun, meskipun mungkin ada beberapa manfaat membocorkan data dengan cara ini, mereka juga datang dengan masalah mereka sendiri, karena meletakkannya di Internet, daripada Tor, membuatnya jauh lebih mudah dihapus.
Saat ini, semua situs pemerasan Clop clearweb yang dikenal telah dijadikan offline.
Tidak jelas apakah situs-situs ini mati karena penyitaan penegakan hukum, serangan DDoS oleh perusahaan keamanan siber, atau penyedia hosting dan pendaftar menutup situs.
Karena mudahnya mereka ditutup, diragukan bahwa taktik pemerasan ini sepadan dengan usaha.
