Ellopott e-mail fiókok, sorozatos támadások
Több száz feltört e-mail fiókból indították a zsarolólevelek özönét, és legalább egy ilyen fiók korábban már a FIN11 nevű, pénzszerzésre szakosodott hackercsoporthoz volt köthető – ez a név egyebek mellett a Clop zsarolóbandát is jelöli. A kifogásolt e-mailekben olyan címek szerepelnek, amelyek már feltűntek a Clop zsarolóoldalán is, de nincs kézzelfogható bizonyíték arra, hogy valóban elloptak volna adatokat. A Mandiant és a GTIG kiberbiztonsági cégek arra kérik azokat, akik ilyen leveleket kapnak, hogy vizsgálják át Oracle rendszereiket szokatlan hozzáférés nyomai után kutatva. A Clop-féle zsaroló e-mailek valóságtartalma tehát egyelőre bizonytalan.
Kik állnak a Clop mögött?
A Clop, más néven TA505, Cl0p vagy FIN11, 2019 óta támad nagyvállalati hálózatokat, először a CryptoMix zsarolóvírussal, majd biztonsági réseket kihasználva. Betelepül a rendszerekbe, adatokat lop el, majd titkosítja a hálózatot: a vállalatokat azzal zsarolja, hogy fizessenek, különben nyilvánosságra hozza az adatokat, vagy titkosítva hagyja a rendszert. Bár ma is alkalmaz zsarolóvírust, az utóbbi években inkább nulla napos (eddig nem ismert) sérülékenységeket használ ki, főleg fájlküldő rendszerekben, hogy adatokat szerezzen. 2020-ban közel 100, 2023-ban pedig több mint 100 céget tört fel ilyen módon. Legutóbb 2024 októberében két friss sebezhetőséggel (CVE-2024-50623 és CVE-2024-55956) támadott. Az USA külügyminisztériuma 1 millió dollárt (közel 356 millió forintot) ajánlott fel annak, aki hiteles információval szolgál a Clop tevékenységéről, ha az idegen ország megbízásából történt.
