Το αρχικό σοκ των γεωπολιτικών αλλαγών σβήνει καθώς οι συμμορίες ransomware επανέρχονται στη ζωή με πλήρη ισχύ.
Ο πόλεμος της Ρωσίας στην Ουκρανία, που ξεκίνησε στις 24 Φεβρουαρίου, προκάλεσε σοκ σε όλο τον υπόκοσμο του κυβερνοχώρου. Δεν είναι μυστικό ότι η Ρωσία είναι εδώ και καιρό ένα ασφαλές καταφύγιο για συμμορίες ransomware, με ορισμένα μέλη συμμοριών να κατοικούν στην Ουκρανία.
Ωστόσο, μια νέα έκθεση από τον Όμιλο NCC υπαινίσσεται μια τάση «business-as-usual». Για παράδειγμα, η συμμορία ransomware Cl0p, το λιγότερο ενεργό καρτέλ από τα εξέχοντα τον Μάρτιο, ήταν μεταξύ των πιο ενεργών μόλις ένα μήνα αργότερα.
Η αλλαγή στον αριθμό των θυμάτων ήταν δραστική: από ένα μόνο θύμα τον Μάρτιο σε 21 τον Απρίλιο. Ομοίως με άλλες διαβόητες οικογένειες ransomware, Conti και Lockbit, το Cl0p έχει στρέψει το βλέμμα του στους βιομηχανικούς και τεχνολογικούς τομείς.
“Η αύξηση της δραστηριότητας του Cl0p φαίνεται να υποδηλώνει ότι έχουν επιστρέψει στο τοπίο της απειλής. Οι οργανισμοί στους πιο στοχευμένους τομείς του CL0P – ιδίως οι βιομηχανίες και η τεχνολογία – θα πρέπει να εξετάσουν την απειλή που παρουσιάζει αυτή η ομάδα ransomware και να είναι προετοιμασμένοι για αυτήν”, Matt Hull, παγκόσμιος επικεφαλής για πληροφορίες στρατηγικής απειλής στο NCC Group, είπε.
Οι ερευνητές στο DarkOwl σημείωσαν επίσης ότι το Cl0P επέστρεψε στη ζωή μετά από έναν σχετικά ήσυχο Μάρτιο.
Η αναζωπύρωση μπορεί να υποδηλώνει ότι η ομάδα είχε ανακάμψει από ένα σημαντικό πλήγμα στη φήμη της πέρυσι, όταν η ουκρανική αστυνομία ανακάλυψε αρκετούς χάκερ που συνδέονται με το Cl0p και πραγματοποίησε πολυάριθμες έρευνες.
Πρόσφατες αναφορές δείχνουν επίσης ότι μια άλλη ομάδα ransomware με έδρα τη Ρωσία, η REvil, ενδέχεται να επιστρέψει με διαφορετική προσέγγιση στο ransomware. Ωστόσο, ενώ το REvil προφέρθηκε «νεκρό» για κάποιο χρονικό διάστημα, το Cl0p παρέμεινε ενεργό.
Η ομάδα ransomware «Cl0p» θεωρείται επιτιθέμενος «κυνηγός μεγάλων παιχνιδιών» λόγω του όγκου της. Ο όμιλος και οι θυγατρικές του πιστώνεται ότι πραγματοποίησαν επιθέσεις εναντίον του πετρελαϊκού γίγαντα Shell, της αμερικανικής τράπεζας Flagstar, της Samsung, της Nvidia και άλλων.
Η ομάδα είναι μέλος ενός μεγαλύτερου ομίλου ετερογενών δραστηριοτήτων που ονομάζεται «TA505» και ομάδες όπως το «F1N11» χρησιμοποιούν ransomware «Cl0p» που ανέπτυξε κακόβουλο λογισμικό.