Antalet ransomware-attacker i juli ökade med över 150 procent jämfört med förra året och aktörerna bakom Clop ransomware var ansvariga för över en tredjedel av dem. Gänget tog över ledningen från Lockbit som det största ransomware-hotet efter att ha utnyttjat en nolldagssårbarhet i MFT-applikationen (Managed File Transfer) Moveit i juni. Moveit-attackerna användes för datastöld och efterföljande utpressning, men de användes dock inte för att distribuera det faktiska Clop ransomware-programmet. Även om aktörerna bakom attackerna är associerade med detta ransomware-program och tog åt sig äran för kampanjen.
– Den här kampanjen är särskilt anmärkningsvärd eftersom Clop har lyckats utpressa hundratals organisationer genom att kompromettera en enda miljö, säger Matt Hull, global chef för threat intelligence på NCC Group, i en rapport.
– Du behöver inte bara vara vaksam när det gäller att skydda din egen miljö, utan du måste också vara mycket uppmärksam på säkerhetsprotokollen hos de organisationer du arbetar med som en del av din leveranskedja.
Clop tar täten
NCC Group har registrerat 502 ransomware-relaterade attacker i juli, en ökning med 16 procent från de 434 som registrerades i juni, och en ökning med 154 procent från de 198 attacker som registrerades i juli 2022. Clop-gänget var ansvarigt för 171 (34 procent) av de 502 attackerna medan LockBit kom på andra plats med 50 attacker (10 procent).
Lockbit har dominerat ransomware-området sedan mitten av förra året efter att det ökända Conti-gänget upplöstes och de som skapat Lockbit gjorde om sitt affiliate-program för att fylla tomrummet och locka till sig tidigare Conti-partner. Ransomware-as-a-service (raas) -operationer som Lockbit förlitar sig på samarbetspartner som kallas affiliates för att bryta sig in i företagsnätverk och distribuera ransomware-programmet i utbyte mot en rejäl procentandel av lösensummorna.
Clop är också en raas-verksamhet som har funnits sedan 2019 och innan dess fungerade den som en initial access broker (IAB) som sålde åtkomst till komprometterade företagsnätverk till andra grupper. De drev också ett stort botnet specialiserat på finansiella bedrägerier och phishing. Enligt en CISA-rapport har Clop-ligan och dess partner hittills komprometterat över 3 000 organisationer i USA och över 8 000 globalt.
Clop-aktörerna är kända för sin förmåga att utveckla zero-day exploits för populär företagsprogramvara, särskilt MFT-applikationer. Gruppen utnyttjade Accellion File Transfer Appliance-enheter under 2020 och 2021, MFT-servrar från Fortra/Linoma Go Anywhere i början av 2023 och Moveit i juni – en attackkampanj som tros ha påverkat upp till 500 organisationer.
”Det har noterats av vissa i branschen att attacken och dess storskaliga inverkan markerar ett skifte i ransomware-modellen”, säger NCC Threat Intelligence-teamet. ”Clops fokus var att utvinna data från MOVEits miljö och använda dessa för att utpressa inblandade organisationer.”
Nordamerika mest utsatt
Enligt NCC:s data för juli låg nordamerikanska organisationer fortfarande högst upp på listan över mål för ransomware-aktörer, med 274 (55 procent) av de observerade attackerna. Europa var den näst mest utsatta regionen, följt av Asien på tredje plats.
Sektorn för professionella varor och tjänster har förblivit ett toppmål, inte bara för ransomware-grupper utan även för andra hotaktörer, inklusive statssponsrade sådana, eftersom den innehåller en stor mängd känslig information och immateriella tillgångar. Sektorn var målet för 155 (31 procent) av ransomware-attackerna i juli och de tre främsta ransomware-gängen i juli – Clop, LockBit och 8Base – var ansvariga för 48 procent av attackerna mot företag från denna sektor. Den näst mest utsatta sektorn var cykliska konsumentvaror (16 procent), följt av teknik (14 procent), enligt NCC.
– Vid sidan av etablerade aktörer, som Clop och Lockbit 3.0, ser vi också ett växande inflytande från nya grupper. De introducerar nya taktiker, tekniker och metoder, vilket understryker hur viktigt det är för organisationer att hålla sig uppdaterade om förändringar i hotbilden, säger Matt Hull.