Исследователи компании NCC Group сообщили о резком росте активности кибервымогательской группировки Clop. В июне прошлого года часть ее инфраструктуры была заблокирована в результате международной полицейской операции Cyclone, осуществленной под эгидой Интерпола. Тогда украинские власти сообщили об аресте 6 подозреваемых, предположительно связанных с деятельностью Clop. Эксперты, впрочем, предполагали, что речь идет не о ключевых участниках группировки, а о людях, связанных исключительно с отмыванием полученных хакерами доходов.

Так или иначе, после этого группа почти исчезла с радаров. В период с ноября прошлого по февраль нынешнего годов ее атак вообще на было зафиксировано, а в марте стало известно лишь об одной атаке. Тем удивительнее узнать, что в апреле на сайте группировки в «темной сети» опубликованы данные сразу 21 одной новой жертвы. Таким образом, по числу атак Clop вышла сразу на 3 место в мире среди кибервымогательских групп, пропустив вперед лишь Lockbit 2.0 (103 жертвы) и Conti (45). Большинство жертв Clop – промышленные и технологические компании.

Однако эта ситуация выглядит достаточно странно на фоне того, что новые образцы вымогательского ПО Clop в последнее время почти не появляются в базе данных сервиса ID Ransomware: такое положение вещей свидетельствует как раз о малом количестве атак. Некоторые аналитики склонны считать, что речь идет не о возобновлении, а об одном из этапов полного прекращения деятельности группировки. По их мнению, на сайте хакеров опубликованы данные вовсе не новых, а всех предыдущих атак, и кибервымогатели пытаются получить хоть какие-то дополнительные доходы от своих прежних операций, прежде чем окончательно уйти со сцены.