Detenidos 6 miembros del grupo de ransomware Clop en Ucrania

Detenidos en Ucrania miembros del grupo ransomware Clop. Acusados de daños por un valor de 500 millones dólares. Conocidos por atacar víctimas prestigiosas Universidades norteamericanas (.edu) o la petrolera Shell gracias al fallo intercambio «seguro» de archivos de la de Accellion.

La noticia de la detención de varios delincuentes relacionados con el ransomware Clop por parte de las fuerzas policiales de Ucrania. Además, según la nota de prensa publicada, han conseguido desconectar la infraestructura usada por el malware para propagarse y bloquear los canales usados por los delincuentes para blanquear el dinero obtenido en criptomonedas.

En esta operación se produjeron 21 registros en la capital de Ucrania y sus alrededores, requisando dinero, bienes y todo tipo de dispositivos tanto en las casas de los acusados como en sus vehículos. A pesar de estas detenciones, aún no queda claro si los individuos que fueron arrestados forman parte del núcleo de desarrolladores de Clop o se trata de afiliados dedicados a atacar a empresas con este malware. Este punto es importante, puesto que podría decidir el futuro inmediato de este ransomware.

Con respecto a la operación, resulta curioso ver como además de la policía ucraniana, también participaron en los registros representantes de las fuerzas policiales de la República de Corea. Esto es debido a que la operación en la que se consiguió detener a estos delincuentes era internacional, con Ucrania, Estados Unidos y Corea del Sur formando parte de ella.

Recordemos que el grupo responsable de Clop ha sido relacionado con algunos incidentes importantes relacionados con el cifrado y filtración no autorizada de datos. De hecho, en muchos de los ataques recientes protagonizados por el grupo criminal estos ya no se molestaban en cifrar la información de las víctimas y simplemente se dedicaban a robarla y amenazar a sus víctimas con publicarla si no se pagaba la cantidad solicitada.

Coches incautados:

  • Tesla
  • Lexus 
  • Mercedes Benz

La policía ucraniana captura a seis personas vinculados al ransomware CLOP

Las autoridades de Ucrania acusaron esta semana a seis personas que presuntamente forman parte del grupo de ransomware CLOP, una banda de ciberdelincuentes que, según se dice, extorsionó a las víctimas con más de 500 millones de dólares. Algunas de las víctimas de CLOP solo este año incluyen la Facultad de Medicina de la Universidad de Stanford, la Universidad de California y la Universidad de Maryland.

Según una declaración y videos publicados, la Policía Cibernética de Ucrania acusó a seis acusados de varios delitos informáticos relacionados con la banda CLOP y realizó 21 registros en toda la región de Kiev.

Debutando por primera vez a principios de 2019, CLOP es uno de varios grupos de ransomware que piratean organizaciones, lanzan ransomware que cifra los archivos y servidores y luego exigen un pago de extorsión a cambio de una clave digital necesaria para desbloquear el acceso.

CLOP ha estado especialmente ocupado durante los últimos seis meses explotando cuatro vulnerabilidades diferentes de día cero en File Transfer Appliance (FTA), un producto para compartir archivos fabricado por Accellion, con sede en California.

La banda CLOP aprovechó esas fallas para implementar ransomware en un número significativo de clientes de Accellion FTA, incluida la cadena de supermercados estadounidense Krogers, el bufete de abogados Jones Day, la firma de seguridad Qualys y el gigante de las telecomunicaciones de Singapur Singtel.

El año pasado, CLOP adoptó la práctica de intentar obtener una segunda demanda de rescate de las víctimas a cambio de la promesa de no publicar ni vender ningún dato robado. Terabytes de documentos y archivos robados de organizaciones de víctimas que no han pagado un rescate de datos ahora están disponibles para descargar desde el sitio web de CLOP, incluidos Stanford, UCLA y la Universidad de Maryland.

No está claro cuánto afectará esta operación policial de las autoridades ucranianas a las operaciones generales del grupo CLOP. La firma de inteligencia de ciberseguridad Intel 471 dice que las redadas de las fuerzas del orden en Ucrania se limitaron únicamente al lado del retiro de efectivo y el lavado de dinero del negocio de CLOP.

No creemos que se haya detenido a ningún actor principal detrás de CLOP, debido al hecho de que probablemente estén viviendo en Rusia”, concluyó Intel 471. «Se espera que el impacto general en CLOP sea menor, aunque esta atención policial puede resultar en el abandono de la marca CLOP, como hemos visto recientemente con otros grupos de ransomware como DarkSide y Babuk» 

Si bien CLOP como colectivo que hace dinero es una organización bastante joven, los expertos en seguridad dicen que los miembros de CLOP provienen de un grupo de Actores de Amenazas (TA) conocido como «TA505», que según la base de datos ATT & CK de MITRE es un grupo de ciberdelincuencia con motivación financiera que ha estado activo desde al menos en 2014. “Este grupo es conocido por cambiar con frecuencia el malware e impulsar las tendencias globales en la distribución de malware criminal”, evaluó MITRE.

Fuente: elhacker.net, protegerse.com

Comments are closed.