کمیته رکن چهارم – یک گروه باجافزاری به یکی از رسانهها اعلام کرده است که مسئولیت حمله اخاذی MOVEit را بر عهده میگیرد.
باند باجافزاری Clop گفته است که پشت حملات سرقت داده MOVEit Transfer هستند؛ حادثهای که در آن یک آسیبپذیری روز صفر برای نفوذ به سرورهای متعلق به صدها شرکت و سرقت دادهها مورد سوءاستفاده قرار گرفت.
مایکروسافت هم پیش از این دنبال همین گروه بود؛ وقتی که این شرکت پس از حادثه اخاذی MOVEit به دنبال گروهی به نام «Lace Tempest» و همچنین مشهور به نامهای KTA505 و FIN11، بود.
نماینده Clop همچنین تأیید کرد که آنها در ۲۷ می، در طول تعطیلات طولانی روز یادبود ایالات متحده، همانطور که قبلا توسط Mandiant فاش شده بود، از این آسیبپذیری سوءاستفاده کردهاند.
انجام حملات در روزهای تعطیل یک تاکتیک رایج برای عملیات باجافزاری Clop است که قبلاً در طول تعطیلات که تعداد کارکنان حاضر در محل کار به حداقل میرسد، حملات بهرهبرداری در مقیاس بزرگ را انجام داده است.
به عنوان مثال، آنها از آسیبپذیری روز صفر مشابه Accellion FTA در ۲۳ دسامبر ۲۰۲۰ برای سرقت دادهها درست در شروع تعطیلات کریسمس سوءاستفاده کردند.
در حالی که Clop تعداد سازمانهای مورد حمله در حملات MOVEit Transfer را اعلام نکرد، اما میگوید که در صورت عدم پرداخت باج، قربانیان در سایت نشت دادههایشان نمایش داده میشوند.
این گروه باجافزاری همچنین تأیید کرد که آنها شروع به اخاذی از قربانیان نکردهاند و پس از اینکه میزان ارزش هر یک از دادهها در طول زمان برایشان مشخص شده، شروع به باجخواهی کردهاند.
در حملات اخیر Clop به GoAnywhere MFT، این باند بیش از یک ماه منتظر بود تا درخواستهای باج به سازمانها را ایمیل کند. در انتها این باند باجافزار گفت که آنها هرگونه اطلاعاتی را که از دولتها، ارتش و بیمارستانهای کودکان در طول این حملات به سرقت رفته بود، حذف کردهاند.
BleepingComputer هیچ راهی برای تأیید صحت این ادعاها ندارد و مانند هر حمله سرقت داده، همه سازمانهای تحت تأثیر باید طوری با آن برخورد کنند که گویی دادهها در معرض خطر سوءاستفاده هستند.
در حالی که Clop بهعنوان یک گروه باجافزاری شروع به کار کرده است، این گروه قبلاً به BleepingComputer گفته بود که از رمزگذاری دور میشوند و به جای آن اخاذی از طریق سرقت اطلاعات را ترجیح میدهند.
باند باجافزاری Clop بهتازگی ادعا کرده است که دادههای صدها شرکت را به سرقت برده است و در صورت عدم پرداخت باج، انتشار اطلاعات سرقت شده سازمانها را از ۱۴ ژوئن آغاز خواهد کرد.
در حملات قبلی GoAnywhere و Accellion FTA، عوامل تهدید خواستههای اخاذی خود را به مدیران شرکت ایمیل کردند.
منبع: زومیت