В Украине сообщили о выявлении операторов шифровальщика Clop. Источники утверждают, что это не хакеры

Украинские правоохранители сообщили о выявлении шестерых представителей хакерской группировки, которая стояла за шифровальщиком Clop, атаковавшего организации из Южной Кореи и США. По данным киберполиции Украины, в 2019 операторы Clop взломали четыре южнокорейские компании, скомпрометировав внутренние сервера и устройства сотрудников.

Хакеры распространяли ПО через электронные письма с вредоносным файлом.  В 2021 году группировка атаковала Медицинскую школу Стэнфордского университета, а также университеты Мэриленда и Калифорнии, получив доступ к персональным данным сотрудников и финансовым отчетам.   За дешифровку злоумышленники требовали выкуп в криптовалюте, в случае неуплаты которого угрожали раскрыть конфиденциальные данные. Общий ущерб от атак оценили в $500 млн. В операции также принимали участие Интерпол и правоохранители США и Южной Кореи. В киберполиции заявили, что пресекли работу хакерской инфраструктуры и заблокировали каналы легализации криптовалюты, полученной незаконным путем. По данным ведомства, правоохранители провели 21 обыск в Киеве и области, изъяли компьютеры, автомобили и около 5 млн гривен наличными (более $184 000).  В сообщении Офиса генпрокурора Украины сказано о 24 обысках и изъятии около 1,5 млн гривен (более $55 000), 3000 евро и $58 000.   Источник ForkLog, пожелавший сохранить анонимность, сообщил, что обыски прошли у крупных OTC-трейдеров, через которых проходили биткоины операторов вируса-вымогателя. Сами они, по данным нашего собеседника, хакерами не являются.  Предположительно, персональные данные фигурантов истории правоохранителям передала биржа Binance, на которой они проводили свои сделки. В релизе киберполиции прямо не сказано о задержании этих людей — только об открытии уголовного производства и аресте имущества.  К похожим выводам параллельно пришла и фирма Intel471 — ее специалисты подтвердили, что рейды в Украине касаются обналичивания средств группировки Clop, а ее основные участники с большей долей вероятности находятся в России.  "Последствия для Clop будут несущественны. Возможно, они просто откажутся от текущего названия из-за пристального внимания правоохранителей", — цитирует Intel471 профильный ресурс krebsonsecurity.com.  В krebsonsecurity.com считают, что участники Clop отделились от группировки TA505, которая действовала с 2014 года и имела финансовые мотивы.  ForkLog запросил комментарий у киберполиции. Мы продолжим следить за развитием истории. Напомним, в конце прошлого года Clop атаковал ведущего немецкого производителя пищевых ароматизаторов Symrise. Хакеры похитили 500 ГБ данных и зашифровали 1000 устройств компании.