Ukraińska cyberpolicja poinformowała wczoraj o zatrzymaniu 6 hakerów, stojących za atakami ransomware Clop, w wyniku których ucierpiały firmy i uczelnie w Korei Południowej i Stanach Zjednoczonych. Straty wyrządzone przez grupę szacuje się na 0,5 mld dolarów.
Edycja (25.06): istnieją przesłanki, że aresztowani cyberprzestępcy nie należeli do grupy ransomware Clop, tylko gangu FANCYCAT, który zajmował się praniem pieniędzy z ataków hakerskich.
Więcej szczegółów (link).
Cyberprzestępcy włamywali się na serwery zagranicznych firm i za pomocą oprogramowania ransomware szyfrowali dane w ich sieciach komputerowych. Następnie żądali okupu w kryptowalutach w zamian za zwrócenie dostępu do zainfekowanych urządzeń, grożąc opublikowaniem przejętych informacji.
Na koncie aresztowanych hakerów znalazły się m.in. włamania do 4 południowokoreańskich firm w 2019 roku. W ich wyniku zablokowano 810 wewnętrznych serwerów oraz komputerów należących do zatrudnionych osób.
W 2021 roku grupa zaszyfrowała dane osobowe pracowników oraz sprawozdania finansowe trzech słynnych amerykańskich uniwersytetów: Stanford University Medical School, University of Maryland oraz University of California.
Zatrzymanie sześciu hakerów
Funkcjonariusze ukraińskich służb, którym towarzyszyli policjanci z Korei Południowej i Stanów Zjednoczonych, dokonali 21 przeszukań w Kijowie i okolicach.
Przejęto sprzęt komputerowy, telefony zatrzymanych oraz 5 mln hrywien w gotówce. Zabezpieczono także resztę mienia należącego do oskarżonych, m.in. 8 luksusowych samochodów.
Wspólnymi wysiłkami funkcjonariuszy organów ścigania udało się zatrzymać infrastrukturę, z której rozprzestrzeniał się wirus oraz zablokować kanały legalizacji kryptowalut pozyskanych w sposób przestępczy. - podano w komunikacie ukraińskiej cyberpolicji.
Jak działała grupa ransomware Clop?
Pierwszym etapem ataku na firmę bądź instytucję był mailing ze złośliwym oprogramowaniem, wysyłany do jej pracowników. Po otwarciu zainfekowanego pliku, wirus pobierał dodatkowe programy z serwera hakerów, m.in. "Flawed Ammyy RAT", służący do zdalnego dostępu do komputera. Później hakerzy wykorzystywali oprogramowanie "Cobalt Strike", które sprawdzało odporność sieci i wyszukiwało luki, przez którego rozsiewano ransomware. Po przejęciu i późniejszym zaszyfrowaniu danych w sieci komputerowej ofiary, cyberprzestępcy żądali okupu w kryptowalutach.
Komentarze