Sotto la minaccia costante del gruppo ransomware Clop, numerose organizzazioni e individui sono stati colpiti da un vasto furto di dati sui server MOVEit. Il numero di vittime continua a crescere, con alcune delle più grandi e influenti aziende al mondo coinvolte nell’attacco.
Clop, noto per il suo modus operandi spietato, ha sfruttato vulnerabilità zero-day nel software di trasferimento file MOVEit prodotto da Progress Software per effettuare i suoi attacchi. A partire dal 28 maggio, centinaia di organizzazioni sono state colpite da questa nuova tattica, che ha permesso ai cybercriminali di accedere a dati altamente sensibili.
Tra le vittime più recentemente colpite, vi sono rinomate società come American Airlines, Shell e le importanti società di consulenza EY e PwC. Anche enti governativi, come i dipartimenti dell’energia e dell’agricoltura degli Stati Uniti, l’Office of Personnel Management e l’autorità di regolamentazione delle comunicazioni britannica Ofcom, sono stati vittime di questo attacco senza precedenti. L’industria dell’istruzione rappresenta un settore particolarmente colpito, con il 24% di tutte le vittime note, seguito dal settore finanziario e dai servizi professionali al 22%.
Nuovo modus operandi di Clop
Una delle ultimissime novità su questa vicenda, è proprio la tecnica utilizzata da Clop per l’esposizione dei dati rubati. Come abbiamo visto la quantità di questi dati è molto estesa, risulta evidente la difficoltà gestionale anche da parte del gruppo criminale di gestire moli così ingenti di dati. Ciò nonostante Clop sta tentando differenti strade per l’esposizione online delle vittime MOVEit. Finora ha utilizzato il proprio server onion sotto rete Tor, ma anche domini su clearnet (l’Internet che navighiamo ogni giorno nella quotidianità). Ora arriva il protocollo Torrent. Nell’ultimo aggiornamento di lunedì appena passato infatti, ha caricato tutti i dati con file torrent e link Magnet.
Il furto di dati da parte di Clop ha avuto gravi conseguenze per almeno 38 milioni di persone, con dati personali sensibili finiti nelle mani dei cybercriminali. Le vittime sono state costrette a fronteggiare l’estorsione, poiché il gruppo ransomware ha minacciato di divulgare informazioni private su un sito dedicato alle fughe di dati. Clop ha richiesto il pagamento di un riscatto per evitare che i nomi delle vittime fossero elencati o per rimuovere i loro dati dal sito.
La portata completa degli attacchi di Clop rimane ancora incerta, con ulteriori 50 organizzazioni recentemente esposte sul sito di fuga dei dati del gruppo. Questo ha portato a una crescente preoccupazione per la sicurezza informatica a livello globale e ha spinto molte aziende a rafforzare le misure di sicurezza per proteggere i propri dati e quelli dei propri clienti.
A seguito dell’attacco, Progress Software ha emesso un avviso di sicurezza e una patch per la vulnerabilità zero-day del software MOVEit. Tuttavia, molte organizzazioni si sono già trovate vulnerabili alle tattiche di Clop, evidenziando l’importanza di un costante monitoraggio e aggiornamento delle difese informatiche.
Mentre la comunità della sicurezza informatica si unisce per contrastare la minaccia di Clop, resta la necessità di ulteriori sforzi per individuare i colpevoli e garantire che vengano adottate misure per prevenire futuri attacchi ransomware. Solo attraverso una collaborazione globale tra governi, aziende e professionisti della sicurezza informatica sarà possibile proteggere le informazioni sensibili da minacce sempre più sofisticate.
