Una semana después de que la policía ucraniana arrestara a criminales afiliados a la notoria banda de ransomware Cl0p, Cl0p ha publicado un nuevo lote de lo que supuestamente son datos confidenciales robados en un pirateo de una víctima previamente desconocida. Ars no identificará a la empresa posiblemente victimizada hasta que se confirme que los datos y el hackeo son genuinos.
Si es genuino, el basurero muestra que Cl0p permanece intacto y capaz de llevar a cabo sus nefastas acciones a pesar de los arrestos. Eso sugiere que los sospechosos no incluyen a los líderes centrales, sino a afiliados u otras personas que desempeñan un papel menor en las operaciones.
Los datos pretenden ser registros de empleados, incluida la verificación de empleo para solicitudes de préstamos y documentos pertenecientes a trabajadores cuyos salarios han sido embargados. No pude confirmar que la información sea genuina y que, de hecho, fue tomada durante un ataque a la empresa, aunque las búsquedas en la web mostraron que los nombres que figuran en los documentos coincidían con los nombres de las personas que trabajan para la empresa.
Los representantes de la empresa no respondieron a una llamada telefónica en busca de comentarios. Los miembros de Cl0p no respondieron a los correos electrónicos enviados a las direcciones que figuran en el sitio del grupo en la web oscura.
Una amenaza existencial
Durante casi una década, el ransomware ha pasado de ser un inconveniente costoso a una amenaza existencial que puede cerrar hospitales e interrumpir el suministro de gasolina y carne. Bajo la presión de la administración Biden, el Departamento de Justicia de EE. UU. Está dando prioridad a los casos de ransomware federales. Biden también expresó su preocupación al presidente ruso, Vladimir Putin, sobre la proliferación de ataques de ransomware de grupos de habla rusa, como Cl0p.
La aprehensión de la semana pasada por parte de la policía ucraniana de seis personas afiliadas a Cl0p fue vista como un golpe de estado en algunos círculos porque marcó la primera vez que un grupo nacional de aplicación de la ley ha llevado a cabo arrestos masivos que involucran a un grupo de ransomware. Pero como la reportera de Wired Lily Hay Newman observado
La nueva filtración confirma los límites de la respuesta actual del ransomware. Gran parte de la debilidad se debe a la descentralización de la economía del ransomware, que se basa en dos entidades cruciales pero independientes. El primero es el grupo que mantiene el ransomware en sí y, a menudo, parte de la infraestructura de Internet en la que se ejecuta.
La segunda entidad es el equipo de piratas informáticos que alquila el ransomware y comparte los ingresos generados con los mantenedores del ransomware. A menudo, un grupo tiene poco o ningún conocimiento del otro, por lo que el cierre de uno no tiene ningún efecto sobre el otro.
La lucha continua
Para agravar la dificultad que enfrenta la aplicación de la ley, muchos de los grupos residen en Rusia u otros países de Europa del Este que no tienen tratados de extradición con Estados Unidos.
Cl0p se detectó por primera vez a principios de 2019. Los objetivos recientes incluyen la compañía petrolera Shell, el bufete de abogados internacional Jones Day, el banco estadounidense Flagstar y varias universidades estadounidenses, incluidas Stanford y la Universidad de California. A menudo, los piratas informáticos afiliados aprovechan las vulnerabilidades del dispositivo de transferencia de archivos Accellion. También se ha observado que Cl0p opera amplias campañas de correo electrónico malicioso para identificar posibles víctimas corporativas. En muchos casos, las campañas utilizan datos robados de víctimas existentes para engañar mejor a los clientes, socios o proveedores para que piensen que un correo electrónico malicioso es benigno.
La capacidad de Cl0p para publicar documentos filtrados después de los arrestos de la semana pasada sugiere que los sospechosos no eran miembros principales y, en cambio, eran afiliados o, como Intel 471 dijo al reportero de seguridad Brian Krebs, “Limitado al lado de retiro de efectivo y lavado de dinero del negocio de CLOP únicamente”. Y eso significa que la lucha contra este grupo y el flagelo de Internet del que forma parte continuará en el futuro previsible.