Il gruppo Clop Ransomware ha recentemente colpito Cleo, un noto fornitore di software per il trasferimento file, minacciando di divulgare dati sensibili dei clienti se non verrà pagato un riscatto entro 48 ore. Hanno già avvisato 66 aziende, spiegando che, in caso di mancato pagamento o negoziazione, le informazioni riservate saranno vendute sul dark web. Questo gruppo di cybercriminali ha cominciato a rivelare parzialmente i nomi delle aziende colpite sul proprio portale nel dark web, una mossa volta a esercitare pressione sulle organizzazioni vittime affinché soddisfino le loro richieste.

Strategia della doppia estorsione

La strategia utilizzata da Clop è quella della "doppia estorsione", sempre più comune tra i ransomware sofisticati. In questi attacchi, i criminali non solo bloccano i dati della vittima criptandoli, ma minacciano anche di divulgarli pubblicamente se il riscatto non viene pagato. In questo caso specifico, Clop ha alzato il livello delle minacce includendo dati dei clienti e dei partner rubati dai sistemi compromessi dei clienti di Cleo. Questo crea una maggiore urgenza per le aziende, che rischiano di compromettere informazioni sensibili relative ai loro clienti, fornitori e dipendenti.

Vulnerabilità zero-day

Gli analisti di Cybersecurity Insiders hanno scoperto che Clop ha sfruttato vulnerabilità critiche zero-day in diversi prodotti di Cleo, tra cui Lexicom, VLTransfer e Harmony. Questi prodotti sono ampiamente utilizzati per trasferimenti sicuri di file e scambi di dati, rendendoli obiettivi attraenti per i cybercriminali. L'uso di exploit zero-day, che sfruttano falle di sicurezza precedentemente sconosciute, ha reso questo attacco particolarmente pericoloso. Una volta scoperte ed esplorate le vulnerabilità, Cleo aveva poche opzioni per prevenire la violazione o fermare gli aggressori dall'estrarre grandi volumi di dati.

Tendenza recente e preoccupante

La pratica della doppia estorsione, che combina la criptazione dei file con la minaccia di divulgazione pubblica dei dati sensibili, è una tendenza recente e preoccupante. Questo metodo è sempre più comune tra gruppi di cybercriminali altamente organizzati come Clop, motivati non solo dal guadagno finanziario ma anche dal desiderio di danneggiare la reputazione delle loro vittime. In precedenti incidenti di alto profilo, Clop ha usato tattiche simili, come nell'attacco al trasferimento file MoveIT che ha compromesso i dati di diverse organizzazioni prominenti.

Importanza di un piano di risposta agli incidenti

Per le aziende che si trovano al centro di un attacco ransomware, l'incidente serve come un promemoria dell'importanza di avere un piano di risposta agli incidenti robusto. Questo dovrebbe includere misure sia per prevenire gli attacchi che per rispondere efficacemente quando si verifica una violazione, come l'implementazione di pratiche di crittografia avanzate e la formazione dei dipendenti nel riconoscere tentativi di phishing e altri vettori di attacco comuni.