A Polícia da Ucrânia, em parceria com a Polícia da Coreia do Sul, prenderam, na quarta-feira (16), membros do grupo cibercriminoso Clop, que organiza ataques de ransomware desde o começo de 2019. Além da prisão de seis integrantes, também foram apreendidos servidores, computadores, celulares, dispositivos de informática e cerca de UAH₴ 5 milhões (R$ 9 milhões) em dinheiro vivo.
- Fornecedora de tecnologia para armas nucleares dos EUA tem dados furtados sendo vendidos pelo grupo REvil
- JBS confirma pagamento de R$ 55 milhões pelo resgate dos dados criptografados; Brasil era foco dos cibercriminosos
- Ataque à Colonial Pipeline partiu de senha de VPN vazada na dark web
Segundo o Departamento de Ciberpolícia da Polícia Nacional da Ucrânia, os réus são acusados de realizar ataques de ransomware em servidores de empresas dos Estados Unidos e da Coreia do Sul. "Em 2019, quatro empresas coreanas foram atacadas pelo vírus Clop, resultando no bloqueio de 810 servidores internos e computadores pessoais de funcionários [...] Um prejuízo total que chega a US$ 500 milhões", escreve a polícia em um comunicado à imprensa, publicado na quarta-feira (16).
Como explica a corporação, os cibercriminosos enviavam e-mails de phishing com malwares para os funcionários das empresas vítimas. "Após abrir o arquivo malicioso, o programa baixava sequencialmente programas adicionais do servidor de distribuição e infectava completamente os computadores das vítimas com o programa gerenciado remotamente (Flawed Ammyy RAT)".
Ainda segundo a polícia da Ucrânia, que está analisando os dispositivos apreendidos, ainda não há como saber se os seis criminosos presos são integrantes da operação que desenvolveu o ransomware Clop. No entanto, pesquisadores da firma estadunidense de segurança da informação, Intel 471, acreditam que os presos são apenas indivíduos envolvidos na lavagem de dinheiro dos lucros do ransomware Clop.
"A operação policial na Ucrânia foi limitada apenas ao saque e lavagem de dinheiro dos negócios do ransomware Clop [...] Não acreditamos que os operadores do ransomware estão entre os detidos, que provavelmente estão em segurança, na Rússia", disse um porta voz da empresa, em entrevista ao BleepingComputer.
Em março deste ano, o ransomware Clop foi responsável pelo ataque a uma agência de transporte da Austrália, além do ataque à cadeia de suprimentos da Accellion, que também comprometeu uma multinacional petroquímica. Mas, como informa a Fire Eye, que identificou o grupo pela primeira vez, eles são responsáveis por ataques a mais de 100 empresas.
Fontes: Ciberpolícia da Ucrânia; BleepingComputer.