Dados de empresas se tornaram públicos uma semana após autoridades anunciarem prisão de seis membros da quadrilha. Vírus de resgate expôs vítimas em site na 'deep web'.
Vivek Chugh/Freeimages
Os responsáveis pelo vírus de resgate Clop voltaram à ativa para expor informações de duas empresas atacadas pelos hackers, de acordo com especialistas e sites que monitoram a atividade desses grupos.
O caso chama a atenção porque o mesmo ransomware foi alvo de uma operação da polícia há cerca de uma semana. Uma ação conjunta da Ucrânia, da Coreia do Sul e dos Estados Unidos levou à prisão de seis pessoas acusadas de integrar a quadrilha.
Os policiais cumpriram mandados de busca e apreensão em 21 residências na capital da Ucrânia, Kiev, e em outras localidades próximas.
Mas a ação parece não ter sido suficiente para desmantelar a quadrilha. O site do Clop na "deep web" não saiu do ar, embora estivesse inativo até esta atualização acontecer e expor as novas vítimas.
A prática de manter sites na "deep web" – onde a atividade é mais difícil de ser rastreada – é comum entre essas gangues.
Quando um vírus de resgate encerra suas operações, é esperado que esses sites saiam do ar, como aconteceu com os vírus DarkSide e Avaddon. Até agora, isso não aconteceu com o Clop.
Atuação do Clop
O Clop (às vezes chamado de "Cl0p", com zero no lugar da letra "o") não tem grande destaque entre os vírus de resgate – aqueles que embaralham os arquivos para destruir sistemas e cobram por uma ferramenta capaz de reverter o estrago.
Ransomware: entenda como o vírus é usado em extorsões e saiba como se proteger
VÍDEO: Ransomware - entenda como vírus é usado em extorsões
Contudo, a quadrilha chamou a atenção em março após o uso de uma nova tática para pressionar as vítimas: um contato direto com pessoas que teriam seus dados vazados caso o resgate não fosse pago.
Assim como muitos outros operadores de vírus dos últimos anos, o Clop extrai informações das empresas atacadas para realizar um golpe de "extorsão dupla": recuperar os arquivos destruídos e não disseminar as informações copiadas.
Os criminosos então vasculham os dados roubados para encontrar endereços de e-mail das pessoas que seriam impactadas pelo vazamento e recomendam um contato com a empresa atacada para impedir que seus dados sejam vazados.
Na prática, isso significa pressionar a empresa pelo pagamento.
Após ataque com vírus de resgate, criminosos pressionam empresa enviando e-mail sobre vazamento de dados a clientes
O Clop é notório por chegar às empresas utilizando uma brecha de segurança em um produto da Accellion, uma empresa que presta serviços de tecnologia. Entre as vítimas conhecidas da quadrilha, estão a petrolífera Shell e a empresa de segurança Qualys.
O impacto desses ataques, contudo, variou bastante entre as vítimas. O serviço vulnerável da Accellion nem sempre dá acesso às redes corporativas. Sem esse acesso, o vírus de resgate não consegue atingir sistemas relevantes.
A retomada das atividades do Clop parece confirmar uma análise realizada pela consultoria de segurança digital Intel 471. Quando a ação policial foi anunciada, a empresa avaliou que os investigadores provavelmente eram apenas laranjas responsáveis pela lavagem de dinheiro.
Os líderes da quadrilha, que são responsáveis pelo vírus de resgate em si e possivelmente pela negociação dos pagamentos, estariam na Rússia, fora do alcance das autoridades dos países que cooperaram nessa investigação.
Dúvidas sobre segurança, hackers e vírus? Envie para
[email protected]Como proteger seu WhatsApp de golpes
Golpes no Whatsapp: saiba como se proteger
Veja dicas para se manter seguro on-line
No YouTube, G1 explica o que é NFT: