Se agregaron un total de 91 nuevas víctimas al sitio de fugas de ransomware Clop (también conocido como Cl0p) durante marzo de 2023, más del 65% del número total de víctimas publicadas entre agosto de 2020 y febrero de 2023, como el grupo de amenazas detrás del ransomware, rastreado por la Unidad Contra Amenazas (CTU) de Secureworks cuando Gold Tahoe se embarcó en una amplia campaña de ataques.
El aumento actual en la actividad de Clop se debe casi por completo a la explotación exitosa del grupo de una vulnerabilidad de día cero en la herramienta de transferencia de archivos administrada (MFT) Fortra GoAnywhere. Informes anteriores han afirmado que el grupo ha accedido y robado datos de 130 organizaciones a través de este método, lo que sugiere que es probable que se publiquen más. Entre las víctimas actualmente conocidas se encuentran el gigante del sector energético Hitachi Energy, el gigante farmacéutico Procter & Gamble, la empresa de seguridad y almacenamiento Rubrik y los grandes almacenes estadounidenses Saks Fifth Avenue.
Muchas de las víctimas del evento Fortra son organizaciones de muy alto perfil con ingresos que ascienden a miles de millones, por lo que, a pesar de que los detalles del rescate son privados, la CTU estimó que, en muchos casos, las demandas ascenderán a decenas de millones.
Sin embargo, señaló Secureworks, las demandas de rescate también pueden verse influenciadas por el valor percibido de los datos: en el ataque de Saks Fifth Avenue, por ejemplo, los supuestos datos de clientes que la pandilla robó resultaron ser datos de clientes simulados utilizados para probar sistemas internos. por lo que es menos probable que la organización pague.
El director de inteligencia de Secureworks CTU, Mike McLellan, dijo que, lamentablemente, los ataques de gran alcance a la cadena de suministro, como el incidente de Fortra, están cayendo en un patrón deprimentemente familiar. “Para un atacante, encontrar una vulnerabilidad en un software popular de terceros puede ser como ganar el premio gordo. El software a menudo tiene un estado privilegiado para ejecutarse en redes, es de confianza. Cuando ese software se ve comprometido, ese sistema de confianza se vuelve en contra de los clientes”, dijo.
“Si bien es diferente a 3CX o Solarwinds [Sunburst] compromisos de la cadena de suministro, donde los atacantes pudieron comprometer el proceso de creación de software, el tipo de actividad de explotación indiscriminada que hemos visto aquí puede ser igual de perjudicial para las organizaciones individuales, si los datos confidenciales se ponen en riesgo”, agregó McLellan.
Secureworks dijo que los ataques de Gold Tahoe se habían centrado simplemente en el robo y la extorsión de datos, y no en el cifrado, que tradicionalmente se asociaría con un ataque de ransomware. De hecho, a diferencia de las campañas anteriores de Clop, actualmente no hay evidencia de que alguna de las víctimas conocidas del incidente de Fortra haya tenido sus sistemas encriptados.
También hay algo de falta de claridad con respecto al valor de los datos que fueron robados, con Gold Tahoe afirmando que solo robó información almacenada en servidores GoAnywhere comprometidos y afirmando que tenía la capacidad de moverse lateralmente e implementar ransomware, elevando la pregunta, ¿por qué no lo ha hecho así?
McLellan dijo que es posible que Gold Tahoe haya decidido no desplegar el casillero Clop porque estaba tratando de apuntar a la mayor cantidad de víctimas posible antes de que Forta abordara el problema. Si hubiera dedicado tiempo a identificar las “joyas de la corona” de cada víctima, es posible que haya perdido el acceso a la base más amplia de víctimas.
¿Quién es Gold Tahoe?
Gold Tahoe es un grupo de delincuentes cibernéticos de larga data motivado financieramente que ha estado activo de alguna forma durante más de una década. Ha sido conocido por muchos otros nombres, quizás el más popular Evil Corp, que probablemente adoptó en referencia al programa de televisión. señor robot – mientras que los investigadores de amenazas de Proofpoint lo conocen como TA505, y otras organizaciones de seguridad tendrán designaciones diferentes.
La operación con sede en Rusia fue anteriormente un operador entusiasta del troyano bancario Dridex y su predecesor Zeus, y muchos otros programas maliciosos, y fue uno de los primeros grupos en aumentar la orientación de las organizaciones farmacéuticas y de atención médica al comienzo de la pandemia de Covid-19. .
Ya notable en los círculos de seguridad por haber robado más de $ 100 millones en el curso de su actividad, la pandilla ganó notoriedad pública generalizada en 2019 cuando las autoridades estadounidenses sancionaron a varios miembros, incluido el presunto líder Maksim Yakubets y el diputado Igor Turashev.
Yakubets se destacó por su lujoso estilo de vida, derrochando las ganancias de los ataques cibernéticos de la pandilla en una boda elaborada y un Lamborghini personalizado con placas de tocador que deletreaban la palabra rusa para ladrón. El deterioro de las relaciones con Rusia hace que ninguno de los dos se haya enfrentado nunca a la justicia.
Sin embargo, puede que no sea el único actor involucrado en la actual campaña de Clop, afirmó el equipo de Secureworks. En un incidente al que respondió el mes pasado, descubrió que Clop estaba siendo utilizado por otro actor, probablemente uno al que rastrea como Gold Niagara (también conocido como Carbon Spider o FIN7).
Gold Niagara históricamente apuntó a restaurantes, minoristas y organizaciones hoteleras para acceder y robar dinero de sus sistemas de punto de venta. Sin embargo, hay alguna evidencia de que se convirtió en ransomware en 2021, y se cree que elementos de la pandilla están asociados con la operación DarkSide.