BBC, BA e Boots hanno ricevuto un ultimatum dalla banda cibernetica Clop

Aug 18, 2023

Una prolifica banda di criminali informatici che si ritiene abbia sede in Russia ha lanciato un ultimatum alle vittime di un attacco informatico che ha colpito organizzazioni di tutto il mondo.

Il gruppo Clop ha pubblicato un avviso sul dark web avvertendo le aziende colpite dall'hacking MOVEit di inviare un'e-mail entro il 14 giugno altrimenti i dati rubati verranno pubblicati.

A più di 100.000 dipendenti della BBC, della British Airways e della Boots è stato detto che potrebbero essere stati prelevati i dati sui libri paga.

I datori di lavoro vengono esortati a non pagare se gli hacker richiedono un riscatto.

Le ricerche sulla sicurezza informatica avevano precedentemente suggerito che Clop potesse essere responsabile dell’hacking annunciato per la prima volta la scorsa settimana.

I criminali hanno trovato il modo di entrare in un popolare software aziendale chiamato MOVEit e sono stati in grado di utilizzare tale accesso per entrare nei database di potenzialmente centinaia di altre società.

Lunedì gli analisti di Microsoft hanno dichiarato di ritenere che la colpa fosse di Clop, sulla base delle tecniche utilizzate nell'hacking.

Ora è stato confermato in un lungo post sul blog scritto in un inglese stentato.

Il post, visto dalla BBC, recita: "Questo è un annuncio per educare le aziende che utilizzano il prodotto Progress MOVEit sulla possibilità che scarichiamo molti dei vostri dati come parte di un exploit eccezionale".

Il post prosegue sollecitando le organizzazioni delle vittime a inviare un'e-mail alla banda per avviare una negoziazione sul portale darknet dell'equipaggio.

Questa è una tattica insolita poiché normalmente le richieste di riscatto vengono inviate via email dagli hacker alle organizzazioni delle vittime, ma qui chiedono che le vittime si mettano in contatto. Ciò potrebbe essere dovuto al fatto che Clop stesso non riesce a tenere il passo con la portata dell'hacking ancora in corso in tutto il mondo.

"La mia opinione è che hanno così tanti dati che è difficile per loro tenerne conto. Scommettono che se lo sai li contatterai", dice Amir Hadžipasić, CEO di SOS Intelligence.

MOVEit viene fornito da Progress Software negli Stati Uniti per consentire a molte aziende di spostare in modo sicuro i file nei sistemi aziendali. Il fornitore di servizi di buste paga Zellis, con sede nel Regno Unito, era uno dei suoi utenti.

Zellis ha confermato che otto organizzazioni britanniche hanno subito il furto di dati, inclusi indirizzi di casa, numeri di previdenza sociale e, in alcuni casi, dettagli bancari. Non tutte le aziende hanno avuto gli stessi dati esposti.

I clienti Zellis che sono stati violati includono:

Anche il governo della Nuova Scozia e l'Università di Rochester stanno avvisando il personale che i dati potrebbero essere stati rubati a causa della vulnerabilità MOVEit.

Il consiglio degli esperti è che gli individui non si facciano prendere dal panico e che le organizzazioni effettuino controlli di sicurezza emessi da autorità come la Cyber ​​Security and Infrastructure Authority negli Stati Uniti.

Clop afferma sul suo sito di fuga di aver cancellato tutti i dati dai servizi governativi, comunali o di polizia.

"Non preoccuparti, abbiamo cancellato i tuoi dati, non è necessario contattarci. Non abbiamo alcun interesse a divulgare tali informazioni", si legge.

Tuttavia, i ricercatori affermano che non ci si deve fidare dei criminali.

"L'affermazione di Clop di aver cancellato informazioni relative a organizzazioni del settore pubblico dovrebbe essere presa con le pinze. Se l'informazione ha un valore monetario o potrebbe essere utilizzata per il phishing, è improbabile che l'abbiano semplicemente eliminata", ha affermato Brett Callow, minacciando ricercatore della Emsisoft.

Gli esperti di sicurezza informatica seguono da tempo gli exploit di Clop, che si ritiene abbia sede in Russia poiché opera principalmente su forum di lingua russa.

La Russia è stata a lungo accusata di essere un rifugio sicuro per le bande di ransomware, cosa che nega.

Tuttavia, Clop funziona come un gruppo "ransomware as a service", il che significa che gli hacker possono noleggiare i propri strumenti per sferrare attacchi da qualsiasi luogo.

Nel 2021, presunti hacker Clop sono stati arrestati in Ucraina in un'operazione congiunta tra Ucraina, Stati Uniti e Corea del Sud.

All'epoca, le autorità affermarono di aver arrestato il gruppo che, secondo loro, era responsabile dell'estorsione di 500 milioni di dollari alle vittime di tutto il mondo.

Ma Clop ha continuato a rappresentare una minaccia persistente.