Кибервымогательская группировка Clop сменила тактику воздействия на жертв. Ранее хакеры похищали данные компаний-жертв перед зашифровкой и затем использовали угрозу их публикации как дополнительный метод давления. При этом сайты для публикации утечек располагались в «темной сети». Этот выбор выглядит вполне логичным: сайты в анонимной сети намного сложнее закрыть даже с санкции правоохранительных органов.

Но у этого метода есть и серьезные минусы. Прежде всего, посещать такие сайты можно лишь с помощью специального браузера Tor. Скорость загрузки сайтов в «темной сети» зачастую очень невысока. И, наконец, опубликованные в этой сети данные не индексируются поисковыми системами. Все это сильно снижает потенциальную аудиторию сайтов утечек.

В результате хакеры группировки Clop начали публиковать похищенные данные в открытой сети. Их не назовешь первооткрывателями: ранее этот метод уже применила киберпреступная группировка ALPHV (известная так же как BlackCat). При этом злоумышленники из Clop не слишком утруждают себя работой над сайтами. Если аналогичные сайты группировки ALPHV представляли собой базы данных с возможностью поиска, то у Clop речь идет лишь о страницах со ссылками на загрузку данных.

Преимущества использования открытой сети для сайтов утечек очевидны: посетить такие сайты может абсолютно любой пользователей, а индексация их поисковыми системами стремительно расширяет распространение информации. Злоумышленники рассчитывают на то, что данные могут быть обнаружены сотрудниками компаний-жертв или их клиентами и партнерами. Такая угроза должна сделать жертв более сговорчивыми в вопросах уплаты выкупа.

Впрочем, минус (для хакеров) состоит в том, что заблокировать сайты в открытой сети тоже можно намного легче и быстрее. Хакеры Clop успели создать сайты для публикации данных, похищенных в результате атак на сервис MOVEit Transfer у компаний PWC, Aon, EY (Ernst & Young), Kirkland, and TD Ameritrade. На данный момент все эти сайты уже недоступны.