This post is also available in: Português Español
Uma semana depois da ação que colocou integrantes do grupo na cadeia, novas vítimas do Clop começam a aparecer. Tendência é que nome seja substituído.
Operações policiais contra grupos de ransomware costumam desmantelar as atividades dos cibercriminosos. Em alguns casos, membros remanescentes levam meses – ou anos – para voltar à ativa, muitas vezes com potencial bem reduzido. Porém, a história está sendo diferente com o ransomware Clop.
Novas vítimas começaram a ser listadas em seu site de vazamento apenas sete dias depois das prisões de diversos integrantes do grupo. A ação foi conduzida pela Polícia Nacional da Ucrânia, Coreia do Sul e Estados Unidos. Um vídeo compartilhado pela polícia ucraniana mostra agentes revistando casas e apreendendo bens – incluindo US$ 180 mil, equipamentos de informática e documentos.
Além disso, as autoridades ucranianas descreveram as prisões como um golpe significativo contra as operações do Clop quanto à lavagem de dinheiro dos resgates que cobrava. “As forças de segurança conseguiram desligar a infraestrutura em que o vírus se espalha, bloqueando canais que legalizavam criptomoedas adquiridas irregularmente”, disse o comunicado à imprensa.
Ação insuficiente
Apesar dos esforços, o Clop continua vivo. A gangue de ransomware voltou à ação anteontem, depois de liberar os dados de duas novas vítimas em seu site de vazamento de dados.
Esse retorno pode ser explicado pelo fato de que as prisões da semana passada visaram a parte da operação de lavagem de dinheiro, não atingindo os principais membros do grupo. Ainda assim, o nome Clop tende a ser substituído, como aconteceu em equipes como DarkSide e Babuk – como uma tentativa de despistar policiais.
Ainda assim, as autoridades seguem investigando dezenas de cibercriminosos. Várias foram as investidas contra grupos de ransomware neste ano, mirando afiliados e a infraestrutura que alimenta suas atividades criminosas.
No começo de 2021, a polícia búlgara apreendeu servidores pertencentes ao ransomware Netwalker, e a polícia ucraniana prendeu membros do ransomware Egregor. Pelo que se sabe, essas duas operações de ransomware foram praticamente encerradas após as prisões. Mais recentemente, o FBI prendeu um desenvolvedor do famoso trojan TrickBot, responsável por desenvolver um novo ransomware.
Como age o Clop
Surgido em março de 2019, o Clop “nasceu” de uma variante do ransomware CryptoMix. Assim, atua buscando uma posição inicial em um computador corporativo para realizar seus ataques. Em seguida, espalha-se lentamente pela rede enquanto rouba dados e documentos confidenciais. Quando já tiver colhido tudo o que considera valioso, implanta o ransomware na rede para criptografar seus dispositivos.
Desde então, o Clop tem sido responsável por vários ataques de ransomware em grande escala, incluindo aqueles contra a Universidade de Maastricht e as empresas ExecuPharm e Indiabulls. Mais recentemente, o Clop vinha roubando dados dos dispositivos de transferência de arquivos Accellion FTA usando uma vulnerabilidade de dia zero, ameaçando liberar os dados se não recebesse a quantia de US$ 10 milhões. Entre as vítimas desses ataques, estão a Shell, o Flagstar Bank, a Universidade de Miami e a Universidade da Califórnia.
Nesse contexto, a polícia ucraniana estima que ao todo os prejuízos do Clop cheguem a US$ 500 milhões. Além de contabilizar danos, a instituição precisará intensificar suas ações, já que as prisões não impediram os crackers de realizar novos ataques – sob o risco de que os cibercriminosos se sintam mais à vontade para continuar agindo.
This post is also available in: Português Español
