Centinaia di aziende hanno subito un attacco informatico dal gruppo Clop (noto anche come Lace Tempest). Sfruttando diverse vulnerabilità del software MOVEit Transfer, i cybercriminali ha sottratto i dati dei clienti e chiesto un riscatto. I database sono stati pubblicati su siti in chiaro per rafforzare la tattica estorsiva.
Dati in chiaro, ma non serve a nulla
Il gruppo Clop è noto soprattutto per l’omonimo ransomware. Gli attacchi che sfruttano le vulnerabilità del software MOVEit Transfer prevedono solo il furto dei dati, ma le vittime devono comunque usare Tor per accedere al sito nascosto che ospita i database e quindi contattare i cybercriminali.
I cosiddetti siti dei “data leak” usano la rete Tor per ridurre il rischio di essere scoperti dalle forze dell’ordine. Occorre però un browser specifico e la velocità di download è molto bassa. Il gruppo Clop ha quindi deciso di pubblicare i dati di alcune aziende su siti in chiaro, quindi accessibili a tutti e indicizzabili dai motori di ricerca.
Sui primi cinque siti erano stati pubblicati i database di altrettante aziende (PWC, Aon, Ernst & Young, Kirkland e TD Ameritrade). Si tratta semplicemente di una pagina con link ad archivi ZIP. Lo scopo di questo metodo estorsivo è mettere pressione alle aziende e quindi convincerle a pagare il riscatto per evitare la divulgazione di informazioni riservate.
Tuttavia, tutti i siti sono stati prontamente chiusi. Non è chiaro se dalle forze dell’ordine o direttamente dagli hosting provider. Non essendo protetti dall’anonimato di Tor, difficilmente la nuova tattica del gruppo Clop avrà successo.
Aggiornamento (6/08/2023): il gruppo Clop ha iniziato a pubblicare i dati rubati tramite Torrent.
Ti potrebbe interessare
25 lug 2023