Clop ransomware now uses torrents to leak data and evade takedowns
2023/08/05 BleepingComputer — ランサムウェア・グループの Clop は、MOVEit 攻撃で盗んだデータを流出させる手段として、新たに Torrent を使用するようになっている。Clop は 5月27日に、ファイル転送プラットフォームである MOVEit Transfer のゼロデイ脆弱性を悪用したデータ窃取攻撃を開始した。同グループは、このゼロデイ脆弱性 CVE-2023-34362 を悪用することで、ハッキングに気付かれる前に、世界中の約 600の組織からデータを盗み出すことに成功した。
Clop は 6月14日から被害者への恐喝を開始し、Tor データ流出サイトに徐々に名前を追加してゆき、最終的には盗み出したファイルを公開した。
しかし Tor サイト経由でのデータ流出には、ダウンロード速度が遅いため、データへのアクセスが容易なケースに比べて、被害がそれほど大きくならない可能性があるという欠点がある。
この欠点を克服するために Clop は、MOVEit 攻撃で窃取したデータをクリアウェブサイトから流出させた。しかしこの種のドメインは、法執行機関や企業は容易にダウンさせられる。
Torrent への移行
これらの問題に対する新たな対策として、MOVEit CVE-2023-34362 攻撃で摂取したデータの配布において、Clop は Torrent を使うようになった。
この新たな手口を最初に発見したセキュリティ研究者の Dominic Alvieri によると、Aon/K & L Gates/Putnam/Delaware Life/Zurich Brazil/Heidelberg などの 20社の被害者向けに、Torrent が作成されているという。
この新しい恐喝方法の一環として、Clop は新しい Tor サイトを立ち上げ、流出したデータをダウンロードするための Torrent クライアントの使い方の説明と、マグネット・リンクのリストを、20社の被害者に提供している。
Torrent は異なるユーザー間での P2P (Peer-to-Peer) 転送を利用するため、転送速度は従来の Tor データ流出サイトよりも速い。
BleepingComputer による簡単なテストでは、ロシアの1つの IP アドレスからしかシードされていないにもかかわらず、5.4Mbps のデータ転送速度を受信していた。これにより、データ転送速度の問題は解決される。
さらに、この配布方法は分散型であるため、法執行機関による停止は容易ではない。元のシーダーがオフラインになったとしても、必要に応じて新しいデバイスを使用して、盗まれたデータを流すことができる。
これが Clop にとって成功であると証明されるなら、セットアップが簡単で、複雑な Web サイトを必要とせず、盗まれたデータが広範囲に配布される可能性が高まる。そのため、この方法がデータ漏えいに利用し続け、さらなる脅威が被害者に加えられることが予想される。
Coveware は、Clop の恐喝による収入は $75M〜$100M だと予想されるとしている。多くの被害者が身代金を支払ったからではなく、脅威アクターが少数の企業に対して、極めて高額の身代金要求を支払うよう、恐喝することに成功したからだ。
Torrent の使用により、さらなる支払いにつながるかどうかは判断できないが、これだけの収益があるならば、それは大きな問題ではないのかもしれない。
いろんな手段を、Clop も考えているようですね。 たしかに、Tor だけに依存してデータを流出させるのでは、パフォーマンスに問題が生じると思われます。そこで、P2P の Torrent へと移行しているのでしょうが、分散型の配布方法により、法執行機関による停止を回避するというメリットも生じるようです。よろしければ、MOVEit で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.