Los ciberdelitos no son meras coincidencias; son parte de un negocio muy bien planificado. En vista de los recientes ataques causados por Clop ransomware, revelamos algunos detalles de este turbio negocio.
El grupo ransomware Clop es una banda de ciberdelincuentes que se dedica a infectar ordenadores con un software malicioso que cifra los archivos y pide un rescate para recuperarlos.
Según algunos informes, el grupo es de origen ruso y opera desde 2019. Hasta ahora, ha atacado a varias organizaciones de alto perfil en diferentes sectores y países, exigiendo pagos de millones de dólares. Algunas de sus víctimas son Software AG, Accellion, Morgan Stanley y la Universidad de Stanford.
El grupo también publica los datos robados en un sitio web de la dark web si no se paga el rescate. En junio de 2021, las autoridades de Ucrania, Corea del Sur y EE. UU. arrestaron a seis sospechosos que se cree que son miembros del grupo Clop, pero el ransomware sigue activo y amenazando a nuevas víctimas.
La explotación de la vulnerabilidad de MOVEit Transfer fue millonaria
Durante toda la edición 30 de CyberWar Magazine, destacamos los ataques que Clop ransomware causaron, partiendo de la violación a Moveit Transfer.
Se estima que este grupo de ciberdelincuentes ganó entre $75-100 millones extorsionando a las víctimas de su masiva campaña de robo de datos de MOVEit durante el 2023.
En un reciente informe publicado por Coveware, se explicó que el número de víctimas que pagan rescates ha caído a un mínimo histórico del 34 %, lo que ha llevado a las bandas de ransomware a cambiar de estrategia para hacer que sus ataques sean más rentables.
Coveware explicó que los diferentes ataques de extorsión tienen diferentes costos de oportunidad, reflejados por la cantidad de esfuerzo e inversiones necesarias para llevar a cabo un ataque en comparación con la demanda de rescate esperada.
Según sus estadísticas, los ataques de extorsión con la menor complejidad y automatización tienen el menor impacto en las víctimas y en el costo para los atacantes, lo que se refleja en las demandas de rescate, con ataques fantasma (ingeniería social), borrado de bases de datos con rescates y ataques de cifrado NAS como Qlocker, que generalmente tienen bajas demandas de rescate debido a la automatización y la falta de complejidad en los ataques.
Para ataques como estos, las demandas de rescate generalmente oscilan entre unos pocos cientos de dólares a miles de dólares, con los actores de amenazas esperando que un gran volumen de pagos compense los bajos precios de rescate.
Sin embargo, los ataques más complicados y que consumen más tiempo con un impacto más significativo generan demandas de rescate mucho mayores, generalmente en millones.
Clop cambia de táctica a medida que disminuyen los pagos. El 27 de mayo, la banda de ransomware Clop comenzó ataques masivos de robo de datos explotando una vulnerabilidad de día cero en la plataforma de transferencia de archivos segura MOVEit Transfer. Se espera que estos ataques afecten a cientos de empresas en todo el mundo, y muchas ya han notificado a sus clientes afectados en los últimos dos meses.
Sin embargo, Coveware explicaba que los ataques de extorsión que se centran sólo en el robo de datos han disminuido los pagos con el tiempo, con las víctimas divulgando los ataques y emitiendo notificaciones de violación de datos en lugar de pagar a los actores de amenazas.
Por lo tanto, Clop ha cambiado su estrategia de extorsión exigiendo demandas de rescate mucho más significativas que las vistas anteriormente en ataques de exfiltración de datos, con la esperanza de que unos pocos pagos grandes superen la disminución general.
Según la estimación de Coveware, es probable que sólo unas pocas de las víctimas de robo de datos de MOVEit paguen. Sin embargo, se espera que Clop reúna una impresionante cantidad de $75-100 millones únicamente de estos pagos, dadas las sustanciales demandas de rescate.
“Es probable que el grupo CloP gane entre $75 y $100 millones de dólares sólo de la campaña MOVEit, con esa suma proveniente de sólo un pequeño puñado de víctimas que sucumbieron a pagos muy altos”, explicó Coveware.
“Esta es una suma de dinero peligrosa e impresionante para que la posea un grupo relativamente pequeño”.
El impacto por parte de los ataques de Clop seguirá teniendo repercusiones
El CEO de Coveware, Bill Siegel, dijo a BleepingComputer que el éxito de Clop en estos ataques es significativamente mayor que sus recientes ataques de robo de datos de GoAnywhere, donde los actores de amenazas violaron a 130 víctimas y recibieron sólo unos pocos pagos de rescate.
Siegel cree que los ataques de robo de datos de Accellion FTA de Clop en 2021 tuvieron éxito porque las víctimas no estaban tan bien educadas sobre los pros y los contras de pagar para evitar la filtración de datos. Además, hubo mucha más atención de los medios en las violaciones individuales en 2021, y los medios ahora se están volviendo insensibles a este tipo de ataques.
Según la declaración de Siegel a BleepingComputer:
“Hoy, las víctimas están mucho mejor educadas sobre los pros y los contras de estas situaciones (con los contras claramente superando a los pros en la mayoría de las situaciones). MOVEit tuvo al menos 10 veces más víctimas directas que ambos de estos ataques, por lo que CloP pudo concentrarse sólo en los más grandes y más propensos a considerar pagar, incluso con más del 90 % de las víctimas ni siquiera molestándose en participar en una negociación”.
Coveware explicó, además, que ha habido una reducción dramática en las operaciones de Ransomware-as-a-Service que apuntan a pequeñas empresas, ya que obtener pagos de rescate se ha vuelto mucho más difícil.
Como resultado, las operaciones de ransomware más pequeñas, como Dharma y Phobos, han visto una disminución de casi el 37 % en los ataques en 2023.
Facebook: Eagle Tech Corp
Instagram: @eagletech_corp
Twitter: @eagletechcorp
LinkedIn: Eagle Tech
YouTube: Eagle Tech Corp
