G1
Dados de empresas se tornaram públicos uma semana após autoridades anunciarem prisão de seis membros da quadrilha. Vírus de resgate expôs vítimas em site na 'deep web'.Vivek Chugh/FreeimagesOs responsáveis pelo vírus de resgate Clop voltaram à ativa para expor informações de duas empresas atacadas pelos hackers, de acordo com especialistas e sites que monitoram a atividade desses grupos.O caso chama a atenção porque o mesmo ransomware foi alvo de uma operação da polícia há cerca de uma semana. Uma ação conjunta da Ucrânia, da Coreia do Sul e dos Estados Unidos levou à prisão de seis pessoas acusadas de integrar a quadrilha.Os policiais cumpriram mandados de busca e apreensão em 21 residências na capital da Ucrânia, Kiev, e em outras localidades próximas.Mas a ação parece não ter sido suficiente para desmantelar a quadrilha. O site do Clop na "deep web" não saiu do ar, embora estivesse inativo até esta atualização acontecer e expor as novas vítimas.A prática de manter sites na "deep web" – onde a atividade é mais difícil de ser rastreada – é comum entre essas gangues.Quando um vírus de resgate encerra suas operações, é esperado que esses sites saiam do ar, como aconteceu com os vírus DarkSide e Avaddon. Até agora, isso não aconteceu com o Clop.Atuação do ClopO Clop (às vezes chamado de "Cl0p", com zero no lugar da letra "o") não tem grande destaque entre os vírus de resgate – aqueles que embaralham os arquivos para destruir sistemas e cobram por uma ferramenta capaz de reverter o estrago.Ransomware: entenda como o vírus é usado em extorsões e saiba como se protegerVÍDEO: Ransomware - entenda como vírus é usado em extorsõesContudo, a quadrilha chamou a atenção em março após o uso de uma nova tática para pressionar as vítimas: um contato direto com pessoas que teriam seus dados vazados caso o resgate não fosse pago.Assim como muitos outros operadores de vírus dos últimos anos, o Clop extrai informações das empresas atacadas para realizar um golpe de "extorsão dupla": recuperar os arquivos destruídos e não disseminar as informações copiadas.Os criminosos então vasculham os dados roubados para encontrar endereços de e-mail das pessoas que seriam impactadas pelo vazamento e recomendam um contato com a empresa atacada para impedir que seus dados sejam vazados.Na prática, isso significa pressionar a empresa pelo pagamento.Após ataque com vírus de resgate, criminosos pressionam empresa enviando e-mail sobre vazamento de dados a clientesO Clop é notório por chegar às empresas utilizando uma brecha de segurança em um produto da Accellion, uma empresa que presta serviços de tecnologia. Entre as vítimas conhecidas da quadrilha, estão a petrolífera Shell e a empresa de segurança Qualys.O impacto desses ataques, contudo, variou bastante entre as vítimas. O serviço vulnerável da Accellion nem sempre dá acesso às redes corporativas. Sem esse acesso, o vírus de resgate não consegue atingir sistemas relevantes.A retomada das atividades do Clop parece confirmar uma análise realizada pela consultoria de segurança digital Intel 471. Quando a ação policial foi anunciada, a empresa avaliou que os investigadores provavelmente eram apenas laranjas responsáveis pela lavagem de dinheiro.Os líderes da quadrilha, que são responsáveis pelo vírus de resgate em si e possivelmente pela negociação dos pagamentos, estariam na Rússia, fora do alcance das autoridades dos países que cooperaram nessa investigação.Dúvidas sobre segurança, hackers e vírus? Envie para g1seguranca@globomail.comComo proteger seu WhatsApp de golpesGolpes no Whatsapp: saiba como se protegerVeja dicas para se manter seguro on-lineNo YouTube, G1 explica o que é NFT: