Cl0p勒索軟體瘋狂作案，殼牌、日立、維珍、多倫多市等先後淪陷

能源巨頭殼牌、電器巨頭日立、網絡安全公司 Rubrik、加拿大多倫多市政府、英國著名風險投資集團維珍，以及許多其他公司實體先後成為 Cl0p 勒索軟體團夥的受害者。專家認為，這些新的攻擊揭示了網絡幫派的一些秘密。

Cl0p勒索軟體最近的狂歡不同于正常的勒索軟體攻擊，因為該團夥沒有選擇加密檔案和洩露資料的傳統雙重勒索政策，Cl0p勒索軟體團夥隻是竊取資料之後威脅要公開資料，并發送勒索信件。

與俄羅斯有關的勒索軟體團夥 Cl0p 最近很忙。在過去的兩周裡，該團夥據稱入侵了世界各地的數十家公司及其他實體。過去兩周，能源巨頭殼牌、電器巨頭日立、龐巴迪、斯坦福大學、網絡安全公司Rubrik 、Saks Fifth Avenue、加拿大多倫多市政府、英國著名風險投資集團維珍，以及許多其他公司都在CI0p勒索軟體團夥的暗網部落格上找到他們的名字。

Cl0p 勒索軟體團夥近期異常活躍，在2021 年執法部門采取聯合行動，逮捕了幾個進階分支機構之後，這個成立四年的網絡幫派團夥似乎一直在冬眠。

雖然像龐巴迪這樣的一些公司告訴 Cybernews，暴露的資料來自 2021 年的一次黑客入侵，但其他公司承認 Cl0p 滲透了他們的防禦系統，很可能是在 Fortra 的 GoAnywhere 托管檔案傳輸中發現了一個0day漏洞導緻。

網絡安全公司 Binary Defense 的産品營銷經理 Ryan Platten 告訴 Cybernews：“勒索軟體組織對供應鍊的這種利用非常令人擔憂，特别是因為它利用了一個0day漏洞。為該漏洞提供更新檔顯然隻是時間問題，這可能是 Cl0p 加快步伐的原因。”

網絡犯罪分子證明了 GoAnywhere 0day漏洞的使用，并補充說該漏洞被用來破壞多達 130 個組織。

網絡安全公司 Cyligence 的首席執行官 Karim Hijazi 說，雖然犯罪分子洩露他們的攻擊工具可能看起來很粗心，但這也表明該工具可能已經過時。

該團夥對0day漏洞的公開态度揭示了攻擊本身。一旦 Cl0p 的分支機構利用該漏洞入侵了數十家公司，他們就會四處窺探受害者的系統，橫向移動并收集資料。

鑒于據稱被入侵的公司數量衆多，此次攻擊要麼需要大量關聯公司之間的密切協調，要麼需要由少數專職成員進行的長時間操作。

烏克蘭當局在 2021 年沒收了 Cl0p 勒索軟體團夥附屬公司的資産。

0day漏洞利用為 Cl0p 提供了大量受害者，可能促使該團夥隻專注于處理由此産生的大量贖金談判。換句話說，0day漏洞等同于快速賺錢。

Cl0p 對零日漏洞的使用不同尋常，但并不是獨一無二的。網絡安全公司 TrustedSec 的事件響應安全顧問 Steven Erwin 表示，勒索軟體團夥過去曾利用未知漏洞入侵公司。

“就在最近，一個勒索軟體組織利用 ESXI 漏洞在一天内感染了 500 多台伺服器。即使回顧 2021 年初，被稱為 Hafnium 的交易所漏洞也被用于勒索軟體。2021 年 7 月，REvil 利用 Kaseya 獲得了 1000 多家公司的通路權限。”Erwin 說。

發現0day漏洞并開發利用漏洞的方法需要時間和相當高的技能：勒索軟體組織的分支機構通常缺乏這兩個關鍵技能。這些網絡罪犯團夥往往利用地下犯罪社群高價購買與0day漏洞相關的攻擊工具或代碼。

更有可能的是，0day漏洞是由另一個團體或個人通過暗網或作為 Cl0p 的特定請求向 Cl0p 提供的。這些勒索軟體團夥中的大多數分支成員都是純粹的網絡犯罪活動營運商，他們購買并利用由更熟練的開發人員和漏洞研究人員開發的攻擊工具。

Cl0p 勒索軟體團夥對 GoAnywhere 0day漏洞的快速使用表明，網絡犯罪集團之間的合作有所加強。熟練的惡意軟體開發人員在網絡犯罪黑社會中是極受歡迎的稀缺資源，網絡犯罪組織正在積極尋找惡意軟體背後的策劃者和高技能開發者。

Cl0p 勒索軟體自 2019 年以來一直存在，在不斷變化的勒索軟體環境中已經存在了很長時間，該團夥也一直處于勒索軟體世界的前沿。

2021年，烏克蘭執法部門對該團夥進行了重大打擊，逮捕了數人，并拆除了該團夥的IT服務基礎設施。逮捕行動最終迫使該團夥在 2021 年 11 月和 2022 年 2 月之前停止營運。不過，現在看來，該團夥的破壞性已穩步恢複。

勒索軟體組織在部分成員被抓獲後會暫時消失，大多數時候，團體可能解散或以不同的名稱卷土重來。此類行為的突出示例包括Conti 及其繼任者 Black Basta、DarkSide及其繼任者 BlackMatter 和 BlackCat/ALPHV。

參考連結：https://cybernews.com/security/what-shell-hitachi-rubrik-attacks-reveal-about-cl0p/