2023 年，勒索軟件的“贖金成果”又取得成倍增長。從市場調(diào)查機(jī)構(gòu) Chainalysis 最新報(bào)告來看，勒索軟件僅從受害者處獲得的加密貨幣價(jià)值就超過了十億美金。同時(shí)，該機(jī)構(gòu)還指出平均勒索贖金水平同樣呈持續(xù)上升的趨勢。

勒索軟件背后的高額“利潤”刺激了更多網(wǎng)絡(luò)威脅分子投身其中，衍生出了類似 RaaS（勒索軟件及服務(wù)）等高效率的勒索模式，逐步構(gòu)建起了完善的勒索生態(tài)鏈，為勒索軟件攻擊事件“繁殖”提供了良好土壤。根據(jù)微步在線發(fā)布的《2023 年威脅情報(bào)及 APT 活動(dòng)分析報(bào)告》顯示，據(jù)不完全統(tǒng)計(jì)全球勒索軟件數(shù)量已達(dá) 1940 個(gè)，其中 2023 年新增了 43 個(gè)勒索團(tuán)伙。

新興的勒索軟件擁有極其豐富的進(jìn)攻武器，利用先進(jìn)的技術(shù)手段和精密策略，針對個(gè)人、大型企業(yè)組織，甚至一些關(guān)鍵基礎(chǔ)設(shè)施發(fā)動(dòng)網(wǎng)絡(luò)攻擊，給其造成了嚴(yán)重的數(shù)據(jù)信息泄露和經(jīng)濟(jì)損失，逐漸在互聯(lián)網(wǎng)行業(yè)“嶄露頭角”。

此外，新型勒索軟件不斷演化和壯大逐步擠壓了 LockBit、Rvil 和 Conti 等老牌勒索軟件的勢力范圍。因此，為重新樹立行業(yè)地位，老牌勒索軟件開始大規(guī)模開展網(wǎng)絡(luò)攻擊活動(dòng)，瘋狂刷“存在感”，其中當(dāng)屬 Clop 勒索軟件最為活躍，其攻擊目標(biāo)涵蓋了醫(yī)療、政府、金融、能源、交通等全球數(shù)百家知名實(shí)體組織。

2023 年發(fā)生的數(shù)千起勒索軟件攻擊案例中，至少有 20% 由 Clop 勒索軟件團(tuán)伙或其旗下附屬組織發(fā)起，這一占比遠(yuǎn)遠(yuǎn)超過近年來備受行業(yè)關(guān)注的 LockBit 勒索軟件團(tuán)伙，更是把其它勒索軟件團(tuán)伙遙遙甩在身后。

Clop 勒索軟件發(fā)展歷程以及運(yùn)營策略

2019 年 2 月，一個(gè)宣稱專門針對全球范圍內(nèi)大型企業(yè)和國有機(jī)構(gòu)的 CryptoMix 勒索軟件變種——Clop 勒索軟件“橫空出世”，使用 Clop 相關(guān)后綴加密文件來勒索目標(biāo)。2020 年 3 月，Clop 勒索軟件團(tuán)伙首次在暗網(wǎng)上啟用了一個(gè)泄露站點(diǎn)，專門用于發(fā)布受害者信息，以便實(shí)施雙重勒索攻擊。

短短數(shù)月后，Clop 勒索軟件組織就成功入侵全球最大的軟件公司之一 Software AG，要求其支付超過 2000 萬美金。最后由于沒有收到贖金，該團(tuán)伙在暗網(wǎng)公布了 Software AG 公司數(shù)據(jù)截圖。此后，Clop 勒索軟件先后又發(fā)起幾次勒索行動(dòng)，在行業(yè)內(nèi)”聲名鵲起“。

通過對 Clop 勒索軟件受害者系統(tǒng)和贖金談判案例詳細(xì)分析，安全研究人員判定其背后運(yùn)營者采用了雙重勒索的模式運(yùn)營該勒索軟件。

從攻擊手段來看，Clop 勒索軟件團(tuán)伙前期主要通過有效訪問憑證和漏洞武器化等方式，突破攻擊目標(biāo)的網(wǎng)絡(luò)防御系統(tǒng)。公開資料顯示， Clop 勒索軟件團(tuán)伙曾利用了 Accellio 公司文件傳輸設(shè)備（FTA），SolarWinds 公司Serv-U托管文件傳輸（MFT），F(xiàn)ortra 公司 GoAnywhere MFT 和 Progress 公司 MOVEit MFT 等產(chǎn)品的相關(guān)漏洞，實(shí)現(xiàn)對潛在攻擊目標(biāo)系統(tǒng)的初始訪問。

一旦擊穿攻擊目標(biāo)的網(wǎng)絡(luò)防御系統(tǒng)后，Clop 勒索軟件會(huì)立刻在受害者系統(tǒng)中部署橫向滲透和遠(yuǎn)程控制等”輔助性“工具，以便對受害者內(nèi)部網(wǎng)絡(luò)系統(tǒng)進(jìn)行橫向滲透，感染其它內(nèi)部系統(tǒng)，以達(dá)到最大化程度破壞系統(tǒng)。

完成一系列內(nèi)部文件加密后，Clop 勒索軟件團(tuán)伙就開始套路受害者，索要巨額贖金了。

首先是威脅，Clop 勒索軟件在進(jìn)入受害者系統(tǒng)后會(huì)立刻加密所有能獲得權(quán)限的文件資料，并且使用經(jīng)過驗(yàn)證和數(shù)字簽名的可執(zhí)行文件來，使其看起來像一個(gè)合法的文件，以逃避安全工具檢測。如果受害者想要換文件解密密鑰，就必須支付贖金。接到贖金勒索通知后，一些網(wǎng)絡(luò)安全能力不強(qiáng)的受害者企業(yè)往往就繳械投降，乖乖支付贖金了。

隨著企業(yè)加強(qiáng)對網(wǎng)絡(luò)安全的重視程度，企業(yè)對于自身安全的資源投入逐步增長，安全防御技術(shù)飛速發(fā)展，一些重要數(shù)據(jù)都設(shè)置了容災(zāi)備份，并且部署了很多的安全防御設(shè)備。此時(shí)，勒索軟件再通過加密重要文件，勒索受害者已然很難收到贖金。

網(wǎng)絡(luò)安全研究人員很快就發(fā)現(xiàn) Clop 勒索軟件升級了勒索策略，不僅會(huì)加密受害者的部分重要文件，還試圖關(guān)閉一些與容災(zāi)備份和安全工具相關(guān)的進(jìn)程和服務(wù)，以阻止受害者恢復(fù)數(shù)據(jù)或檢測網(wǎng)絡(luò)攻擊，并且盜取大量重要數(shù)據(jù)資料。

后續(xù)贖金談判過程中，如果受害者拒絕支付贖金，面臨的可能不僅僅是內(nèi)部網(wǎng)絡(luò)系統(tǒng)癱瘓，更甚者大量機(jī)密信息被 Clop 勒索軟件團(tuán)伙上傳到其數(shù)據(jù)泄露站點(diǎn)上，“待價(jià)而沽”，供其它勒索軟件團(tuán)伙購買使用。據(jù) SentinelLabs 相關(guān)研究結(jié)果顯示，Clop 勒索軟件的數(shù)據(jù)泄露網(wǎng)站在 2023 年發(fā)布了約 353 名受害者的被盜資料。

Clop 勒索軟件團(tuán)伙襲擊了數(shù)千家實(shí)體組織

雙重勒索策略既增加了受害者支付贖金的壓力，同時(shí)又能夠吸引更多勒索軟件團(tuán)伙購買竊取的數(shù)據(jù)，賺取”額外“資金，一舉兩得。憑借自身技術(shù)和運(yùn)營策略方面的優(yōu)勢，Clop 勒索軟件很快就搶走了 LockBit、Conti 等勒索軟件組織的”風(fēng)頭“。

2020 年 10 月，Clop 勒索軟件團(tuán)伙針對德國軟件巨頭 Softawre AG 發(fā)起了網(wǎng)絡(luò)攻擊，正式打響了在互聯(lián)網(wǎng)領(lǐng)域的“第一槍”。在成功進(jìn)入 Softawre AG 內(nèi)網(wǎng)后，Clop 勒索軟件立刻加密了部分文件，盜取大量數(shù)據(jù)資料，并要求其支付 2000 萬美元贖金換取解密密鑰。贖金談判失敗后，Clop 勒索軟件團(tuán)伙在其泄密網(wǎng)站上公布了 Softawre AG 公司內(nèi)網(wǎng)數(shù)據(jù)的部分截圖，其中包括員工護(hù)照、電子郵件、財(cái)務(wù)文件和目錄等。

2020 年 12 月，Clop 勒索軟件團(tuán)伙又攻破了一家涉足零售商場、餐廳、主題公園、酒店和建筑業(yè)務(wù)的韓國集團(tuán) E-Land Retail 的網(wǎng)絡(luò)防御系統(tǒng)，并且從該公司竊取了 200 萬張信用卡數(shù)據(jù)，最終迫使該公司關(guān)閉了 23 家NC百貨商店和新的核心門店。

2021 年 12 月，英國媒體披露 Clop 勒索軟件團(tuán)伙竊取了英國警方的機(jī)密數(shù)據(jù)，并在暗網(wǎng)上泄露。（值得一提的是，Clop 勒索軟件團(tuán)伙一開始的攻擊目標(biāo)是 IT 公司 Dacoll，網(wǎng)絡(luò)犯罪分子利用網(wǎng)絡(luò)釣魚破壞了該公司系統(tǒng)后，意外獲得了包括 PNC（英國警察計(jì)算機(jī)網(wǎng)絡(luò)）數(shù)據(jù)信息在內(nèi)的 1300萬人的個(gè)人信息和記錄）最后，由于 Dacoll 公司拒絕付款，網(wǎng)絡(luò)犯罪團(tuán)伙 Clop 在其暗網(wǎng)上公布了部分被盜資料。

Clop 盜竊的文件還包括從國家自動(dòng)車牌識別（ANPR）系統(tǒng)中流出的駕駛者圖像

Clop 勒索軟件團(tuán)伙在 2021 年利用 Accellion 的文件共享系統(tǒng) FTA 中存在的未知漏洞，入侵包含了殼牌石油公司、信息安全業(yè)者 Qualys、加拿大噴氣式飛機(jī)制造商 Bombardier、新加坡電信、美國華盛頓州審計(jì)官辦公室，以及新西蘭儲備銀行等大型組織在內(nèi)的多個(gè)實(shí)體機(jī)構(gòu)，獲取了高額贖金。

此外，Clop 勒索軟件團(tuán)伙在 Fortra  GoAnywhere MFT（托管文件傳輸）工具中發(fā)現(xiàn)一個(gè)零日漏洞，并利用其發(fā)起了廣泛性勒索攻擊，最終波及到了包括寶潔公司、多倫多市政府和美國最大的醫(yī)療保健提供商 Community Health Systems 等在內(nèi)的 100 多家企業(yè)組、政府組織。

不久后， Clop 勒索軟件團(tuán)伙又利用 MOVEit Transfer 文件傳輸漏洞進(jìn)行了大規(guī)模網(wǎng)絡(luò)攻擊，包括美國能源部 (DOE)、北卡羅來納州主要醫(yī)院在內(nèi)的多家全球知名的實(shí)體組織成為了受害者，目前受害者數(shù)量一直在持續(xù)增長。

Clop 勒索軟件團(tuán)伙的”秘密武器“

Clop 勒索軟件團(tuán)伙能夠摘取如此大的”勝利果實(shí)“不僅僅依仗先進(jìn)的勒索策略，其豐富的進(jìn)攻手段同樣起到至關(guān)重要的作用。Clop 勒索軟件團(tuán)伙屬于流行的 Cryptomix 勒索軟件家族，作為一種危險(xiǎn)的文件加密病毒，會(huì)主動(dòng)避開未受保護(hù)的安全系統(tǒng)，并通過植入 .Clop 擴(kuò)展名來加密保存的文件。早期，Clop 勒索軟件團(tuán)伙主要利用 AES 密碼加密圖片、視頻、音樂、數(shù)據(jù)庫文件，并附加 .CLOP 或 .CIOP 文件擴(kuò)展名，從而阻止受害者訪問個(gè)人數(shù)據(jù)（例如，"sample.jpg "被重命名為 "sample.jpg.Clop"），威脅范圍涵蓋了 Windows XP、Windows7、Windows8、Windows8.1和Windows10 等大多數(shù)操作系統(tǒng)版本。

此外，能夠取得如此“輝煌” 的戰(zhàn)績與 Clop 勒索軟件團(tuán)伙善用使用網(wǎng)絡(luò)釣魚策略有很大關(guān)系，這些電子郵件包含 HTML 附件，一旦受害者打開郵件中的某個(gè)帶有惡意鏈接的字段，這些附件就會(huì)立刻悄無聲息的將受害者重定向到用于安裝名為 Get2 的加載程序的啟用宏的文檔。

該加載程序有助于下載其他工具，例如 SDBOT、FlawedAmmyy 和 Cobalt Strike ，一旦進(jìn)入系統(tǒng)，Clop 勒索軟件團(tuán)伙就會(huì)進(jìn)行資源偵察、橫向移動(dòng)和滲透，為后續(xù)部署勒索軟件做好準(zhǔn)備。之后，Clop 勒索軟件團(tuán)伙會(huì)通過發(fā)送電子郵件脅迫受害者進(jìn)行贖金談判。如果受害者對勒索信息選擇視而不見，Clop 勒索軟件團(tuán)伙成員就會(huì)威脅在其數(shù)據(jù)泄露網(wǎng)站“Cl0p^_-Leaks”上公布被盜數(shù)據(jù)。

Clop 勒索軟件運(yùn)營商還非常善用設(shè)備中存在的安全漏洞進(jìn)行網(wǎng)絡(luò)攻擊活動(dòng)，其中最早可追溯到包含以下漏洞的 Accellion文件傳輸設(shè)備組合漏洞：

• CVE-2021-27101，通過精心制作的頭部字段進(jìn)行SQL注入;
• CVE-2021-27102，本地web服務(wù)調(diào)用導(dǎo)致的操作系統(tǒng)命令注入;
• CVE-2021-27103，精心制作的POST請求來進(jìn)行服務(wù)端請求偽造;
• CVE-2021-27104，精心制作的POST請求進(jìn)行操作系統(tǒng)命令注入。

Clop 勒索軟件利用上述漏洞組合在受害目標(biāo)服務(wù)器上植入一個(gè)名為 DEWMODE 的 webshell，惡意腳本在成功被啟用后，便立刻開始查詢受害者數(shù)據(jù)庫中存儲文件的相關(guān)信息，甚至還帶有清理網(wǎng)絡(luò)攻擊活動(dòng)痕跡的功能。

值得注意的是，上述提到的“Fortra  GoAnywhere MFT“漏洞組也被該團(tuán)伙大規(guī)模利用過，近期影響美國多個(gè)政府機(jī)構(gòu)、實(shí)體組織的 MOVEit 管理文件傳輸平臺漏洞利用攻擊事件背后的”真兇“也是 Clop 勒索軟件團(tuán)伙。

Clop 勒索軟件團(tuán)伙不斷被打擊，又不斷重生

Clop 勒索軟件聲名鵲起之后，很快被各國的執(zhí)法人員盯上了。2021年，烏克蘭、韓國及美國執(zhí)法部門合作開展一項(xiàng)國際執(zhí)法行動(dòng)，烏克蘭警方出手逮捕了至少 6 名與 Clop 勒索軟件團(tuán)伙有關(guān)的網(wǎng)絡(luò)犯罪分子，關(guān)閉了其攻擊活動(dòng)中使用的基礎(chǔ)設(shè)施，還對位于基輔的21 套房屋展開了詳細(xì)搜查。

聯(lián)合執(zhí)法人員在本次活動(dòng)中查獲了網(wǎng)絡(luò)犯罪分子使用的計(jì)算機(jī)、智能手機(jī)與服務(wù)器設(shè)備，以及500 萬烏克蘭格里夫納（折合 18 萬美元以上）現(xiàn)金、多輛特斯拉、奔馳與雷克薩斯等品牌的汽車。

盡管聯(lián)合執(zhí)法行動(dòng)使得 Clop 勒索軟件部分基礎(chǔ)設(shè)施被查封、成員被逮捕，卻沒有阻止 Clop 勒索軟件組織持續(xù)作案的腳步， 2021 年 10 月，研究人員在分析某次網(wǎng)絡(luò)攻擊事件是觀察到，Clop 勒索軟件又再次進(jìn)行了迭代升級，引入以下新功能。

• Clop v2 的一個(gè)突出特點(diǎn)是它實(shí)現(xiàn)了雙重勒索。除了加密文件之外，除非支付贖金，否則此版本還脅要暴露受害者數(shù)據(jù)。這種雙重威脅加劇了影響，不僅擾亂了業(yè)務(wù)運(yùn)營，還危及敏感信息;
• Clop v2 添加到其工具包中，將其范圍擴(kuò)展到基于云的環(huán)境，利用 Microsoft Azure 和 Amazon Web Services 等平臺中的漏洞，對組織構(gòu)成威脅，無論數(shù)據(jù)存儲位置如何——無論是在本地還是在云中;
• Clop v2 引入了一些額外的特性和功能，包括：
• 加密功能擴(kuò)展到網(wǎng)絡(luò)連接存儲 (NAS) 設(shè)備。
• 加密功能擴(kuò)展至涵蓋 Linux 和 macOS 設(shè)備上的文件。
• 能夠禁用防病毒和安全軟件。
• 通過暴力攻擊和網(wǎng)絡(luò)釣魚電子郵件促進(jìn)的網(wǎng)絡(luò)傳播。

Clop 勒索軟件還推出了幾種已知的變體，它們以同樣的方式從根本上破壞受害者系統(tǒng)，隨著每一種新變體的出現(xiàn)，技術(shù)交付方法變得更加復(fù)雜。一個(gè)新變體的標(biāo)志之一是文件擴(kuò)展名，據(jù)記錄，這些擴(kuò)展名顯示為“CIIp”、“.Clp”、“C_L_O_P”、“ClopReadMe.txt”、“README_README.txt”、“Cl0pReadMe.txt”和“READ_ME_！！.txt”。

Clop 勒索軟件頑強(qiáng)的生存能力引發(fā)了全球很多國家的擔(dān)憂，紛紛懷疑其背后具有”國家力量“，多次聯(lián)合起來打擊該團(tuán)伙的網(wǎng)絡(luò)犯罪活動(dòng)，但大都收效甚微。為獲得更多有關(guān) Clop 勒索軟件團(tuán)伙的情報(bào)，美國國務(wù)院直接懸賞了 1000 萬美元。

（圖片來源：空間閑話 plus）

RaaS 模式和雙重勒索已成常態(tài)

從 Clop 、LockBit 等勒索軟件的發(fā)展歷程來看，作為一種持續(xù)威脅，勒索軟件不僅具有頑強(qiáng)的生命力和”再生“能力，也呈現(xiàn)出了一些新的趨勢和特點(diǎn)。RaaS（Ransomware as a Service）模式和雙重勒索已經(jīng)成為勒索攻擊的常態(tài)化現(xiàn)象，使得黑客無需具備深厚的技術(shù)功底，只需購買勒索軟件即可發(fā)起攻擊，從而降低了勒索攻擊的門檻，提高了攻擊效率。

一個(gè)重要的新趨勢是“自動(dòng)化勒索”，安全專家多次強(qiáng)調(diào)在 AI 大模型飛速發(fā)展的背景下，很多勒索團(tuán)伙都會(huì)更加積極探索這一方向。通過自動(dòng)化工具和流程，威脅攻擊者能夠極大地節(jié)省攻擊時(shí)間和成本，提高攻擊效率和成功率，增加了對受害者的威脅感，使得應(yīng)對勒索軟件攻擊變得更加復(fù)雜和困難，這種自動(dòng)化的攻擊方式讓勒索軟件的威脅更加隱蔽和具有持續(xù)性，給網(wǎng)絡(luò)安全帶來了更大的挑戰(zhàn)。

更糟糕的是，一旦受害企業(yè)支付了贖金，可能會(huì)成為其他勒索軟件團(tuán)伙的目標(biāo)，面臨多次勒索要求的威脅。隨著勒索軟件不斷演進(jìn)，攻擊模式和勒索策略勢必會(huì)呈現(xiàn)出新的特點(diǎn)，對網(wǎng)絡(luò)安全形勢提出了更大的考驗(yàn)。因此，企業(yè)和組織需要采取更加全面、有效的網(wǎng)絡(luò)安全措施，以應(yīng)對不斷變化的勒索軟件攻擊威脅。