Data leaking from a faucet

Clop ランサムウェア ギャングは再び恐喝戦術を変更し、MOVEit 攻撃で盗まれたデータを漏洩するために torrent を使用しています。

5 月 27 日から、Clop ランサムウェア ギャングは、 MOVEit Transfer 安全なファイル転送プラットフォームのゼロデイ脆弱性を悪用した一連のデータ盗難攻撃を開始しました。

このゼロデイを悪用すると、攻撃者はハッキングに気づく前に世界中の約 600 の組織からデータを盗むことができました。

6 月 14 日、ランサムウェア ギャングは被害者からの恐喝を開始し、Tor データ漏洩サイトに徐々に名前を追加し、最終的にファイルを公開しました。

ただし、Tor サイト経由でのデータ漏洩にはいくつかの欠点があります。ダウンロード速度が遅いため、場合によっては、データに簡単にアクセスできれば漏洩による被害が少なくなることがあります。

これを克服するために、 Clop は一部の MOVEit データ盗難被害者のために盗まれた情報を漏洩するクリアウェブ サイトを作成しましたが、この種のドメインは法執行機関や企業にとっては簡単に削除できます。

トレントへの移行

これらの問題に対する新たな解決策として、Clop は、MOVEit 攻撃によって盗まれたデータを配布するために torrent を使用し始めました。

この新しい戦術を最初に発見したセキュリティ研究者のドミニク・アルヴィエリ氏によると、Aon、K&L Gates、パットナム、デラウェア・ライフ、ブラジルのチューリッヒ、ハイデルベルクを含む20人の被害者のためにトレントが作成されたという。

この新たな恐喝手法の一環として、クロップ氏は新たな Tor サイトを開設し、トレント クライアントを使用して漏洩データと 20 人の被害者に関するマグネット リンクのリストをダウンロードする方法を説明しました。

利用可能な Clop torrent のリスト
利用可能な Clop torrent のリスト
ソース:

トレントは異なるユーザー間のピアツーピア転送を使用するため、転送速度は従来の Tor データ漏洩サイトよりも高速です。

による簡単なテストでは、この方法は、ロシアの 1 つの IP アドレスからしかシードされていないにもかかわらず、5.4 Mbps のデータ転送速度を受信できたため、データ転送の低下の問題を解決しました。

さらに、この配布方法は分散化されているため、法執行機関がこれを閉鎖する簡単な方法はありません。元のシーダーがオフラインになった場合でも、必要に応じて新しいデバイスを使用して盗まれたデータをシードできます。

これがClopにとって成功した場合、セットアップが簡単で複雑なWebサイトを必要とせず、盗まれたデータがより広範囲に配布される可能性が高まるため、被害者にさらに圧力をかける可能性があるため、彼らはこの方法をデータ漏洩に引き続き利用することになるでしょう。

コーブウェアによれば、 クロップ氏は恐喝の支払いで7,500万ドルから1億ドルを稼ぐことが見込まれているという。多くの被害者が支払っているからではなく、攻撃者が少数の企業を説得して非常に高額な身代金要求を支払うことに成功しているからです。

トレントの使用により支払いが増えるかどうかはまだ決定されていません。しかし、これだけの収益を考えれば、それは問題ではないかもしれません。