De Russische hackersgroep Clop heeft toegang gekregen tot gegevens van TomTom. Het Amsterdamse navigatiebedrijf bevestigt slachtoffer te zijn geworden van deze cybercriminelen. Volgens een woordvoerder zijn geen gegevens buitgemaakt die een 'negatieve materiële impact kunnen hebben voor TomTom of zijn klanten.' Het bedrijf wil niets zeggen over de aard van de data die in verkeerde handen zijn gekomen. Het lek is gemeld bij de privacy-toezichthouders.
De criminelen maakten gebruik van een lek in Moveit Transfer, een veel gebruikte applicatie voor het delen van bestanden. 261 klanten van softwaremaker Progress, waaronder dus ook TomTom, hebben problemen ondervonden. Begin juni waarschuwde het Nationaal Cyber Security Centrum (NCSC) al voor een kwetsbaarheid in deze software. De kans op misbruik van deze kwetsbaarheid en de mogelijke impact hiervan zijn ingeschat op hoog. Progress heeft een beveiligingsadvies gepubliceerd.
Toegang tot gecompromitteerde systemen en de hierin opgeslagen gegevens vindt mogelijk al plaats sinds 28 mei. De kwetsbaarheid kan mogelijk ook worden misbruikt voor het verkrijgen van beheerdersrechten. De groep achter de Clop-ransomware beweert 82 gigabyte aan bedrijfsgegevens van TomTom te hebben gekaapt. De criminelen dreigen de gestolen data via hun eigen website te publiceren als slachtoffers niet betalen.
Tot de andere slachtoffers van de lek behoren British Airways, omroep BBC, drogisterijketen Boots, Landal (vakantieparken), hotelketen Radisson en Jones Lang LaSalle (vastgoed).
Een bijzondere discussie want Shell is getroffen door Cl0p en heeft aanzienlijke belangen in Russische olie- en gassector. Shell is verder, naast andere Europese energiebedrijven mede-eigenaar van NordStream welke naar alle waarschijnlijkheid is gesaboteerd door Oekraïne. Hierin de onderste steen boven halen ligt politiek gevoelig, je gaat het pas zien als je het begrijpt hoewel sommigen het niet willen zien. Halbe Zijlstra is nooit in de dascha van Poetin geweest maar Karin Kneissl misschien wel want Wikipedia laat ook zien dat hybride oorlogsvoering een beleid is in de geopolitiek van de invloedssferen. En gelijk van Lavrov blijkt uit merites want één dictator in Irak vervangen voor 40 anderen heeft niet de beloofde stabiliteit gebracht.
Hoewel van Clausewitz niet de term hybride oorlog gebruikt verwees hij naar impact van economische oorlogsvoering. Lijstje van Amerikaanse inmenging in machtswisselingen is hierin lang omdat het nadeel van vreedzame co-existentie om het globalisme van de machtige multinationals gaat die buiten een democratische controle opereren. En een gecompromitteerd rechtssysteem, een niet-transparante regering en een verzwakt maatschappelijk middenveld in een land zijn precies de ingrediënten voor het cowboy-kapitalisme. Wiener schnitzels en bier waren 2012/2013 geld- en drankzucht de spreekwoordelijke olie die de processen in Oekraïne smeerden. En ik heb niet de indruk dat een oorlog daarin nog wat veranderd heeft, het maatschappelijke middenveld is hierdoor alleen maar meer verzwakt.
https://en.wikipedia.org/wiki/Mozart_Group
Aangezien we discusseren op grond van Wikipedia geef ik even de westerse tegenhanger van Wagner want wat kan er misgaan met huurlingen die een drankzucht hebben op grond van post-traumatische ervaringen? Ik begrijp dat keerzijde van het conflict niet past in het beeld dat sommigen hebben maar controle op dit soort groepen, waaronder ik ook het vreemdelingenlegioen van Oekraïne schaar, is altijd lastig als we kijken naar de drank- en geldzucht van avonturiërs die weinig cultuurhistorische bindingen hebben met het land waar ze vechten. Autonomie van dit soort strijdkrachten kent dan ook een groot risico zoals we vanuit een historie met allerlei binnenlandse verzetsgroepen weten. Vrees dat dit ook geldt voor ransomwaregroepen, Cl0p is namelijk een in Oekraïne opererende groep zoals uit alle bewijzen blijkt.
“Cl0p is namelijk een in Oekraïne opererende groep zoals uit alle bewijzen blijkt” Dat is nog steeds de vraag Ewout, want één IP-adres maakt nog geen Russische lente. Erg ver komen we op deze manier niet.
Het enige wat wij nu hebben zijn lijsten van slachtoffers van CLoP. Dit is geen kwestie van speculeren, maar analyseren. Als CLoP nooit slachtoffers maakt uit de Russische Federatie of de GOS, Iran, enz., dan is na honderden slachtoffers niet vol te houden dat ze neutraal zijn.
Volgens techzine.nl zijn in juni de ransomware aanvallen vooral met LockBit en CLoP geweest en staan in de top-12 van getroffen landen 11 Westerse landen en Brazilië. China en India, landen die het Kremlin te vriend wil houden, worden wel door LockBit geraakt, maar blijkbaar niet door CLoP.
De zeer succesvolle LockBit ransomware groep lijkt anders, meer autonoom te handelen. LockBit wordt succesvol via Ransomware-as-a-Service ingezet, maar zou toch bijvoorbeeld GOS landen mijden. LockBit Black dat meer platformen dan ooit kan infecteren, zou net als CLoP ook taalinstelling-gevoelig zijn en o.a. Russen, Perzen, Arabieren en Roemenen (Moldavië) sparen. Bij een RaaS beleid, wil je toch wat controle houden op de affiliates omdat je zelf een veilig onderkomen wilt behouden. De Russische Federatie zou eerder vanwege LockBit meerdere Russen en een Russische Tsjetsjeen opgepakt (opvallend veel leden van Cybercrime groepen hebben dubbele nationaliteit). Maar de groep is niet opgerold.
Ewout, als jij weet hebt van een lijst met Russische bedrijven die slachtoffer zijn geworden van CLoP, dan horen we dit graag.
De ontkenning begint verdacht te worden, in 2021 zijn er Cl0p operators gearresteerd in Oekraïne en recentelijk is er door verschillende mensen in de scene wederom uitgesproken dat er sterke aanwijzingen zijn dat er nog altijd vanuit de Oekraïne geopereerd wordt:
https://cybernews.com/security/cl0p-hacker-hides-in-ukraine/
‘Because a flaw in the platform’ klinkt voor mij als een 0-day welke blijkbaar door een hacker met een witte hoed misbruikt wordt waardoor het meer is dan een IP-nummer waarop de aannames zijn gebaseerd;-)
Aangaande het lijstje kan Jaap zelf Darkfeed raadplegen want door niemand wordt gesteld dat een aan Rusland gelieerde (?) bende gehoorzaam is aan Moskou omdat het al een tijdje een losgeslagen bende in de Oekraïne is. Alles wijst op geldgedreven motivaties en kaartje laat zien waar kans op succes voor Cl0p groot is. De meeste gebruikers van GoAnywhere, PaperCut en MOVEit bevinden zich in Noord-Amerika waardoor het meer statistiek is dan politiek. Keer ik de redenatie van Jaap om dan sta je alleen op het lijstje als je niet betaald hebt….
@Ewout, wie is verdacht? Zijn er Russen / Russischtalige CLoP operators gearresteerd door Oekraïne (ja), of bijvoorbeeld Oekraïners / Oekraïens sprekende CLoP operators door Russische diensten in Russisch bezet Oekraïne of in Rusland zelf ? Dat maakt een groot verschil de geloofwaardigheid van jouw verhaal.
Jij kijkt blijkbaar alleen naar het lijstje die van CLoP, anderen niet. Er zijn meerdere lijstjes van de honderden CLoP slachtoffer, die van overheden en Cybersecurity bedrijven en die van de CLoP website.
En nogmaals als CLoP at random vanuit Slavisch gebied zou opereren, dan zou ook net zo goed Rusland en Belarus en andere GOS landen getroffen zijn. Of dacht je dat de bedrijven in die landen veel beter tegen hacken beschermd zijn? Dat geloof je toch zelf niet. En vergeet niet dat staatsbedrijven en bedrijven van oligarchen net zo goed over veel geld beschikken. Je kent de jachten van de oligarchen wel. Russische bedrijven en instellingen worden dan ook gehackt. Maar ik heb niet gehoord dat het Russischtalige CLoP daar dan achter zat. En daar gaat het hier om.
Verder komen de slachtoffers zeker niet vrijwel alleen uit Noord-Amerika. We zien we dat CLoP slachtoffers heel vaak uit Turkije komen, maar ook uit Groot Brittannië, Noorwegen, Nederland, Bondsrepubliek, Luxemburg, Frankrijk, Spanje, Portugal, Oostenrijk, Zwitserland, Oekraïne, Israël, Hong Kong, Brazilië, diverse olieproducerende landen uit het Midden-Oosten, enz.
Over statistiek. CLoP heeft vaak gebruik gemaakt van zero-day exploits zoals die in Accellion’s legacy File Transfer Appliance, Transfer of MOVEit Cloud. Die software wordt niet overal gebruikt. Maar er zijn genoeg andere technieken om te hacken en de CLoP criminelen beheersen vele technieken en gebruiken vaak wel een dozijn technieken bij één slachtoffer. Op dat punt verdienen ze ontzag (geen respect).
Gewone Russische criminelen die geen statelijke actor zijn, zouden daarom ook Russische bedrijven en instellingen op het lijstje zetten, CLoP doet dat blijkbaar niet. Statistisch niet verklaarbaar bij zulke aantallen.
Verder wordt Phishing door hackers heel veel (bijna de helft) toegepast om toegang te kunnen krijgen om uiteindelijk ransomware en aparte downloaders te installeren. Dat geldt ook voor CLoP. En ga eens na, als je Russischtalig bent zoals bij GloP en wilt vertrouwd overkomen bij je slachtoffer, waar zou je je als crimineel je Phishing mails het liefst naar toezenden? …..
Dus, kom dan eens met een lijst van slachtoffers uit Rusland en Belarus van je scene. Er is geen enkele reden waarom er toevallig geen slachtoffers uit Rusland of uit de GOS op zouden staan, maar wel vele honderden uit tientallen andere landen.
Overigens zijn de CLoP criminelen ook al bezig met quadruple extortion tactieken, dus naast data encryptie en -diefstal ook nog eens DDOS en het onderdruk zetten via individuele klanten van het slachtoffer.