Após ser alvo de ação da polícia, vírus de resgate Clop retoma atividades e expõe novas vítimas

Dados de empresas se tornaram públicos uma semana após autoridades anunciarem prisão de seis membros da quadrilha. Vírus de resgate expôs vítimas em site na 'deep web'.

Vivek Chugh/Freeimages

Os responsáveis pelo vírus de resgate Clop voltaram à ativa para expor informações de duas empresas atacadas pelos hackers, de acordo com especialistas e sites que monitoram a atividade desses grupos.

O caso chama a atenção porque o mesmo ransomware foi alvo de uma operação da polícia há cerca de uma semana. Uma ação conjunta da Ucrânia, da Coreia do Sul e dos Estados Unidos levou à prisão de seis pessoas acusadas de integrar a quadrilha.

Os policiais cumpriram mandados de busca e apreensão em 21 residências na capital da Ucrânia, Kiev, e em outras localidades próximas.

Mas a ação parece não ter sido suficiente para desmantelar a quadrilha. O site do Clop na "deep web" não saiu do ar, embora estivesse inativo até esta atualização acontecer e expor as novas vítimas.

A prática de manter sites na "deep web" – onde a atividade é mais difícil de ser rastreada – é comum entre essas gangues.

Quando um vírus de resgate encerra suas operações, é esperado que esses sites saiam do ar, como aconteceu com os vírus DarkSide e Avaddon. Até agora, isso não aconteceu com o Clop.

Atuação do Clop

O Clop (às vezes chamado de "Cl0p", com zero no lugar da letra "o") não tem grande destaque entre os vírus de resgate – aqueles que embaralham os arquivos para destruir sistemas e cobram por uma ferramenta capaz de reverter o estrago.

Ransomware: entenda como o vírus é usado em extorsões e saiba como se proteger

VÍDEO: Ransomware - entenda como vírus é usado em extorsões

Contudo, a quadrilha chamou a atenção em março após o uso de uma nova tática para pressionar as vítimas: um contato direto com pessoas que teriam seus dados vazados caso o resgate não fosse pago.

Assim como muitos outros operadores de vírus dos últimos anos, o Clop extrai informações das empresas atacadas para realizar um golpe de "extorsão dupla": recuperar os arquivos destruídos e não disseminar as informações copiadas.

Os criminosos então vasculham os dados roubados para encontrar endereços de e-mail das pessoas que seriam impactadas pelo vazamento e recomendam um contato com a empresa atacada para impedir que seus dados sejam vazados.

Na prática, isso significa pressionar a empresa pelo pagamento.

Após ataque com vírus de resgate, criminosos pressionam empresa enviando e-mail sobre vazamento de dados a clientes

O Clop é notório por chegar às empresas utilizando uma brecha de segurança em um produto da Accellion, uma empresa que presta serviços de tecnologia. Entre as vítimas conhecidas da quadrilha, estão a petrolífera Shell e a empresa de segurança Qualys.

O impacto desses ataques, contudo, variou bastante entre as vítimas. O serviço vulnerável da Accellion nem sempre dá acesso às redes corporativas. Sem esse acesso, o vírus de resgate não consegue atingir sistemas relevantes.

A retomada das atividades do Clop parece confirmar uma análise realizada pela consultoria de segurança digital Intel 471. Quando a ação policial foi anunciada, a empresa avaliou que os investigadores provavelmente eram apenas laranjas responsáveis pela lavagem de dinheiro.

Os líderes da quadrilha, que são responsáveis pelo vírus de resgate em si e possivelmente pela negociação dos pagamentos, estariam na Rússia, fora do alcance das autoridades dos países que cooperaram nessa investigação.

Dúvidas sobre segurança, hackers e vírus? Envie para [email protected]

Como proteger seu WhatsApp de golpes

Golpes no Whatsapp: saiba como se proteger

Veja dicas para se manter seguro on-line

No YouTube, G1 explica o que é NFT: