Xakep #305. Многошаговые SQL-инъекции
Операторы шифровальщика Clop вновь начали размещать на своем сайте похищенные у жертв данные. Дело в том, что на прошлой неделе, в результате совместной операции, проведенной при содействии и координации Интерпола правоохранительными органами Украины, Южной Кореи и США, были задержаны шестеро подозреваемых, каким-то образом связанные с Clop, но, очевидно, это не повлияло на «работу» группировки.
Украинские полицейские сообщали, что провели 21 обыск в столице страны и Киевской области, в домах фигурантов и в их автомобилях. В результате были изъяты: компьютерная техника, машины (Tesla, Mercedes и Lexus) и около 5 000 000 гривен наличными (около 13,4 млн рублей), которые, по мнению властей, были получены от жертв в качестве выкупов. На имущество подозреваемых наложили арест.
При этом, по информации ИБ-компании Intel 471, украинские власти арестовали людей, которые были причастны только к отмыванию денег для операторов Clop, тогда как основные члены хак-группы, скорее всего, находятся в России.
«Рейды правоохранительных органов в Украине, связанные с программой-вымогателем CLOP, связаны лишь с выводом/отмыванием денег для “бизнеса” CLOP. Мы не считаем, что кто-то из основных участников CLOP задержан, и полагаем, что они, вероятно, живут в России. Мы ожидаем, что влияние [этой операции на работу] CLOP будет незначительным, хотя внимание правоохранительных органов может привести к тому, что [хакеры] откажутся от бренда CLOP, что мы недавно наблюдали в случае с другими вымогательскими группами, такими как DarkSide и Babuk», — говорили эксперты.
Хотя после арестов «работа» Clop была приостановлена примерно на неделю, теперь Bleeping Computer сообщает, что вымогатели вновь активизировались и опубликовали на своем сайте в даркнете данные о двух новых жертвах.
Исследователи не разглашают названия пострадавших компаний, но сообщают, что были обнародованы личные данные сотрудников, включая документы подтверждающие занятость (для заявлений на получение кредитов), а также документы об удержании заработной платы.
Также нужно сказать, что сегодня криптовалютная биржа Binance сообщила, что принимала участие в недавней операции правоохранителей и помогла идентифицировать преступников.
Here's how #Binance and international law enforcement were able to take down a $500 million cybercrime ring. https://t.co/V7YeYFzGeh
— Binance (@binance) June 24, 2021
Представители биржи рассказали, что отлеживали группировку FANCYCAT, которая занимается различной криминальной деятельностью, включая управление «высокорисковым» криптовалютным обменником. Эта группа отмывала денег для таких вымогателей, как Clop и Petya и в целом ответственна за ущерб на сумму более 500 000 000 долларов, связанный с шифровальщиками, а также отмыла миллионы долларов, связанные с другими видами киберпреступлений.
Binance утверждает, что обнаружила FANCYCAT совместно с фирмами TRM Labs и Crystal (BitFury), занимающимися блокчейн-анализом, а затем передала всю собранную информацию правоохранительным органам, что и привело к аресту группы в начале месяца.