Clop ได้เริ่มการโจมตีที่มีการขโมยข้อมูลของเหยื่อโดยใช้ช่องโหว่ Zero-day บนแพลตฟอร์ม
การถ่ายโอนไฟล์ชื่อว่า MOVEit Transfer ซึ่งการใช้ช่องโหว่ Zero-day
ทำให้แฮกเกอร์สามารถขโมยข้อมูลจากหน่วยงานจำนวนเกือบ 600 องค์กรทั่วโลกได้ ก่อนที่เหยื่อจะรู้ตัวว่าถูกโจมตี
ในวันที่ 14 มิถุนายน Clop เริ่มการโจมตีเรียกค่าไถ่กับเหยื่อโดย ค่อย ๆ ปล่อยข้อมูลรั่วไหลของเหยื่อ
ลงใน Tor Data Leak Site และจะเปิดเผยไฟล์แบบสาธารณะ
แต่ในการปล่อยข้อมูลรั่วไหล Tor Data Leak Site นั้นมีข้อเสียบางประการ
เนื่องจากความเร็วในการดาวน์โหลดช้า ทำให้การรั่วไหลในบางกรณี
ไม่เกิดความเสียหายมากเท่าที่ควรจะเป็น เพื่อที่จะรับมือกับสถานการณ์นี้
แรนซัมแวร์ Clop ได้สร้างเว็บไซต์ “ClearWeb” เพื่อทำการรั่วไหลข้อมูลของเหยื่อ
สำหรับเหยื่อบางรายที่ถูกขโมยข้อมูลผ่าน MOVEit แต่โดเมนประเภทนี้จะถูกตรวจจับได้ง่ายกว่า
การเปลี่ยนไปใช้ทอร์เรนต์
เพื่อแก้ปัญหาการถูกตรวจจับได้ง่าย Clop จึงได้เริ่มใช้ Torrent เพื่อแพร่ข้อมูลที่ถูกขโมยผ่าน MOVEit โดยจากการค้นพบของ Dominic Alvieri ผู้เป็นนักวิจัยด้านความปลอดภัย เผยว่า “การเริ่มใช้ Torrent ในการโจมตี ณ ตอนนี้ มีเหยื่อทั้งหมด 20 ราย เช่น Aon, K & L Gates, Putnam, Delaware Life, Zurich Brazil, และ Heidelberg” และ Clop ยังได้สร้าง Tor Site ที่ให้คำแนะนำเกี่ยวกับวิธีการใช้ไคลเอนต์ Torrent เพื่อดาวน์โหลดข้อมูลที่รั่วไหลและรายชื่อของลิงก์สำหรับเหยื่อทั้ง 20 ราย
เนื่องจาก Torrent ใช้การถ่ายโอนแบบ Peer-to-Peer ระหว่างผู้ใช้ที่แตกต่างกัน จึงส่งผลให้ ความเร็วในการถ่ายโอนจะเร็วกว่า Tor Site ดั้งเดิม ซึ่งวิธีนี้ช่วยแก้ไขปัญหาการถ่ายโอนข้อมูลให้เร็วขึ้น และจากวิธีการแพร่กระจายนี้ เป็นระบบที่กระจายอย่างไม่มีจุดเด่น ทำให้สามารถหลบเลี่ยงการตรวจจับได้
คำแนะนำ
- ควรอัปเดตซอฟต์แวร์ป้องกันไวรัสให้เป็นเวอร์ชันล่าสุดอยู่เสมอ
- ควรกำหนดรหัสผ่านในการเรียกดูไฟล์
- ควรกำหนดสิทธิ์การเข้าถึงไฟล์ที่สำคัญ
- ควรสำรองไฟล์ไว้ในหลาย ๆ แห่ง และบนอุปกรณ์สำรองไฟล์
Ref : https://www.bleepingcomputer.com/news/security/clop-ransomware-now-uses-torrents-to-leak-data-and-evade-takedowns/