Cyberthreat.id – Geng ransomware Clop kembali lagi dan menyerang 21 lwmbaga dalam waktu satu bulan antara Maret dan April.

Dikutip dari Bleeping Computer, NCC Group mengungkapkan setelah efektif mematikan seluruh operasi mereka selama beberapa bulan, antara November dan Februari, ransomware Clop kembali melancarkan serangannya.

“CL0P kembali secara eksplosif ke garis depan lanskap ancaman ransomware, melompat dari aktor ancaman yang paling tidak aktif di bulan Maret menjadi yang keempat paling aktif di bulan April,” kata NCC Group.

NCC Group menyebutkan, lonjakan aktivitas ini terlihat setelah kelompok ransomware menambahkan 21 korban baru ke situs kebocoran data mereka dalam satu bulan, pada bulan April. Mereka melihat ada fluktuasi yang mencolok dalam penargetan aktor ancaman pada bulan April.

“Sementara Lockbit 2.0 (103 korban) dan Conti (45 korban) tetap menjadi aktor ancaman paling produktif, korban CL0P meningkat secara besar-besaran, dari 1 menjadi 21,” tambah NCC Group.

Menurut NCC Group, sektor yang paling ditargetkan Clop adalah sektor industri, dengan 45% serangan ransomware Clop menghantam organisasi industri dan 27% menargetkan perusahaan teknologi. Karena itu, NCC Group memperingatkan organisasi-organisasi dalam sektor yang paling ditargetkan kelompok ransomware untuk mempertimbangkan kemungkinan menjadi target berikutnya geng ini dan bersiap-siap.

Namun, meski sudah membocorkan data dari hampir dua lusin korbannya, grup ransomware tersebut tampaknya tidak terlalu aktif dilihat dari jumlah submisi pada layanan ID Ransomware. Sementara itu, beberapa korban baru-baru ini dipastikan sebagai serangan baru, satu teori adalah bahwa geng Clop akhirnya mungkin akan menghentikan operasi mereka setelah tidak aktif begitu lama.

Sebagai bagian dari proses ini, geng ransomware kemungkinan akan mempublikasikan data semua korban yang sebelumnya tidak dipublikasikan. Ini mirip dengan apa yang dilakukan grup Conti saat ini sebagai bagian dari penutupan operasi merekamereka.

Seperti diketahui,jeda aktivitas geng ransomware Clop mudah dijelaskan oleh beberapa infrastrukturnya yang ditutup pada Juni 2021. Tepat setelah operasi penegakan hukum internasional dengan nama sandi Operation Cyclone yang dikoordinasikan oleh INTERPOL.

Enam orang yang diduga melakukan pencucian uang dan menyediakan layanan cash-out untuk geng ransomware Clop ditangkap oleh pihak berwenang Ukraina setelah 21 penggeledahan rumah di wilayah Kyiv.

Meskipun menargetkan korban di seluruh dunia dalam serangan ransomware setidaknya sejak 2019 (beberapa korbannya termasuk Universitas Maastricht, Software AG IT, ExecuPharm, dan Indiabulls), geng Clop juga dikaitkan dengan gelombang besar pelanggaran data Accellion yang mengarah ke peningkatan substansial dalam pembayaran tebusan rata-rata untuk tiga bulan pertama tahun 2021.

Dalam serangan Accellion, operator Clop hanya mengekstrak data dalam jumlah besar dari perusahaan terkenal menggunakan File Transfer Appliance (FTA) warisan Accellion. Geng ini kemudian menggunakan data yang dicuri ini sebagai pengaruh untuk memeras perusahaan yang disusupi, memaksa mereka untuk membayar tuntutan tebusan yang tinggi agar data mereka tidak bocor secara online.

Daftar perusahaan yang server Accellion FTA mereka diretas oleh Clop termasuk, antara lain, raksasa energi Shell, perusahaan keamanan siber Qualys, raksasa supermarket Kroger, dan beberapa universitas di seluruh dunia (Universitas Colorado, Universitas Miami, Stanford Medicine, Universitas Maryland Baltimore (UMB), dan Universitas California.)