This post is also available in: Português Español
Una semana después de los hechos, que como consecuencia llevó a uno de los integrantes del grupo a prisión, comenzaron a aparecer nuevas víctimas del Clop. Se espera que su nombre sea cambiado.
Las operaciones policiales contra grupos de ransomware, acostumbran desmantelar las actividades de este tipo de cibercriminales. En algunos casos, los miembros restantes toman meses – o años – en volverse a activar, muchas veces con su potencial muy reducido. Sin embargo, la historia está siendo diferente con el ransomware Clop.
Nuevas víctimas comenzaron a aparecer en su sitio web de filtrado, solo siete días después de que varios integrantes del grupo cayeran presos. Las acciones fueron tomadas por la Policía Nacional de Ucrania, Corea del Sur y Estados Unidos. Un vídeo compartido por la policía ucraniana muestra a los agentes revisando casas e incautando artículos– incluyendo US$ 180 mil dólares, en equipos de informática y documentos.
Además, las autoridades ucranianas comentaron que la prisión sería un golpe significativo contra las operaciones del Clop con respecto al lavado de dinero de los rescates cobrados. “Las fuerzas de seguridad consiguieron eliminar la infraestructura en que el virus se propaga, bloqueando los canales que legalizaban criptomonedas adquiridas irregularmente”, dice el comunicado a la prensa.
Acción Insuficiente
A pesar de los esfuerzos, el Clop continúa vivo. La banda de ransomware volvió a la acción, después de liberar los datos de dos nuevas víctimas en su sitio web de filtrado de datos.
El retorno puede explicarse por el hecho de que las condenas de la semana pasada se concentraron en la parte del lavado de dinero, y no abarcaron a los principales miembros del grupo. Aún así, el nombre Clop tiende a ser cambiado, como sucedió en equipos como DarkSide y Babuk – como intento de despistar a la policía.
Aún así, las autoridades siguen investigando a decenas de cibercriminales. Este año se realizaron varias acometidas contra grupos de ransomware, buscando a sus afiliados y la infraestructura que alimenta sus actividades criminales.
Al comienzo del 2021, la policía búlgara prendió a trabajadores pertenecientes al ransomware Netwalker, y la policía ucraniana prendió a miembros del ransomware Egregor. Hasta donde se sabe, esas dos operaciones de ransomware prácticamente se cerraron después de las condenas a prisión. Más recientemente, el FBI prendió un desarrollador del famoso troyano TrickBot, responsable por desarrollar otro ransomware nuevo.
Cómo actúa el Clop
Surgió en marzo de 2019, el Clop “nació” de una variante del ransomware CryptoMix. De manera que, actúa buscando una posición inicial en un computador corporativo para realizar sus ataques. Luego, se extiende lentamente por la red mientras roba datos y documentos confidenciales. Cuando termina de recoger todo lo que considera valioso, implanta el ransomware en la red para encriptar sus dispositivos.
Desde entonces, el Clop ha sido responsable por varios ataques de ransomware a grande escala, incluyendo aquellos contra la Universidad de Maastricht y las empresas ExecuPharm y Indiabulls. Más recientemente, el Clop había estado robando datos de los dispositivos de transferencia de archivos Accellion FTA usando una vulnerabilidad de día Cero, amenazando liberar los datos si no recibía la cantidad de US$ 10 millones. Entre las víctimas de esos ataques, están Shell, Flagstar Bank, la Universidad de Miami y la Universidad de California.
La policía ucraniana estima que posiblemente todo los daños causados por Clop lleguen a US$ 500 millones. Además de contabilizar los daños, la institución precisará intensificar sus acciones, ya que las condenas no impidieron que los crackers realizaran nuevos ataques – bajo el riesgo de que los cibercriminales se sientan más cómodos en continuar actuando.
This post is also available in: Português Español