CLOP MOVEit zsarolótámadás
Az Intel 471 feldolgozta a CLOP csoport MOVEit kihasználását. 2023. május 27-én a CLOP ransomware csoport elkezdte kihasználni a MOVEit nevű szoftvert, amelyet a szervezetek nagy fájlok átvitelére használnak. A CLOP egy SQLi (structure Query Language-injection) sebezhetőséget (CVE-2023-34362) használt a LEMURLOOT nevű webshellel a MOVEit alkalmazásoknál. Innentől kezdve a csoport a LEMURLOOT-ot használta a MOVEit-en belül tárolt fájlok letöltésére. Az áldozatok közé tartoznak a különböző ágazatokban működő szervezetek, közte az oktatási, az ipari és a kormányzati szektorokat.
A CLOP az áldozatokat értesítette, hogy lépjenek kapcsolatba a csoporttal, figyelmeztetve, hogy az áldozatok adatai megjelennek az adatszivárogtatási weboldalán. 2023. június 14-én elkezdte felsorolni az általa kompromittált szervezetek nevét, és végül fájlokat kezdett kiszivárogtatni. A CLOP váltságdíjat követelt az adatok törléséért cserébe. Bár a CLOP-ot zsarolóvírus csoportnak tekintik, az incidens s során nem titkosított adatokat. Ez gyakorlatilag azt jelenti, hogy szervezetek képek voltak tovább működni, a nyilvánosságra került adatok okozhattak problémát. Főleg a megszégyenülés, a kereskedelmileg bizalmas információk és a személyazonosításra alkalmas információk nyilvánosságra hozatalának kockázata miatt volt kényes a CLOP tevékenysége.
A támadások óta az Egyesült Államok Igazságügyi Minisztériuma 10 millió dollár jutalmat hirdetett a CLOP-tagok azonosításához vezető információkért. 2021 júniusában a bűnüldöző szervek hat ukrán állampolgárt vádoltak meg a CLOP ransomware csoport állítólagos tagjaiként. Az akciónak azonban korlátozott volt a hatása, mivel az elfogottak kizárólag pénzmosással foglalkoztak, míg a törzscsoport tagjait nem érintette. A CISA szerint nincs arra utaló jel, hogy a feltételezett oroszországi székhelyű CLOP az orosz kormánnyal összehangoltan jár el.
Az Egyesült Államok Kiberbiztonsági és Infrastruktúra Ügynökségétől származó kompromisszummutatók teljes leírása itt található.