В Украине сообщили о выявлении операторов шифровальщика Clop. Источники утверждают, что это не хакеры

Украинские правоохранители сообщили о выявлении шестерых представителей хакерской группировки, которая стояла за шифровальщиком Clop, атаковавшего организации из Южной Кореи и США.

По данным киберполиции Украины, в 2019 операторы Clop взломали четыре южнокорейские компании, скомпрометировав внутренние сервера и устройства сотрудников. Хакеры распространяли ПО через электронные письма с вредоносным файлом. 

В 2021 году группировка атаковала Медицинскую школу Стэнфордского университета, а также университеты Мэриленда и Калифорнии, получив доступ к персональным данным сотрудников и финансовым отчетам.  

За дешифровку злоумышленники требовали выкуп в криптовалюте, в случае неуплаты которого угрожали раскрыть конфиденциальные данные. Общий ущерб от атак оценили в $500 млн.

В операции также принимали участие Интерпол и правоохранители США и Южной Кореи.

В киберполиции заявили, что пресекли работу хакерской инфраструктуры и заблокировали каналы легализации криптовалюты, полученной незаконным путем.

По данным ведомства, правоохранители провели 21 обыск в Киеве и области, изъяли компьютеры, автомобили и около 5 млн гривен наличными (более $184 000). 

В сообщении Офиса генпрокурора Украины сказано о 24 обысках и изъятии около 1,5 млн гривен (более $55 000), 3000 евро и $58 000.  

Источник ForkLog, пожелавший сохранить анонимность, сообщил, что обыски прошли у OTC-трейдеров, через которых проходили биткоины операторов вируса-вымогателя. Сами они, по данным нашего собеседника, хакерами не являются. 

Предположительно, персональные данные фигурантов истории правоохранителям передала биржа Binance, на которой они проводили свои сделки.

В релизе киберполиции прямо не сказано о задержании этих людей — только об открытии уголовного производства и аресте имущества. Источник подтверждает, что фигуранты не арестованы и находятся на свободе.

К похожим выводам параллельно пришла и фирма Intel471 — ее специалисты подтвердили, что рейды в Украине касаются обналичивания средств группировки Clop, а ее основные участники с большей долей вероятности находятся в России. 

«Последствия для Clop будут несущественны. Возможно, они просто откажутся от текущего названия из-за пристального внимания правоохранителей», — цитирует Intel471 профильный ресурс krebsonsecurity.com. 

В krebsonsecurity.com считают, что участники Clop отделились от группировки TA505, которая действовала с 2014 года и имела финансовые мотивы. 

В комментарии ForkLog представители киберполиции заявили, что в публикации на их сайте содержится информация, которую они «могут освещать»:

«Остальное мы не можем комментировать, чтобы не помешать следствию».

Мы продолжим следить за развитием истории.

Напомним, в конце прошлого года Clop атаковал ведущего немецкого производителя пищевых ароматизаторов Symrise. Хакеры похитили 500 ГБ данных и зашифровали 1000 устройств компании.

Читайте биткоин-новости ForkLog в нашем Telegram — новости криптовалют, курсы и аналитика.