2023 年，勒索軟件的“贖金成果”又取得成倍增長。從市場調(diào)查機構(gòu) Chainalysis 最新報告來看，勒索軟件僅從受害者處獲得的加密貨幣價值就超過了十億美金。同時，該機構(gòu)還指出平均勒索贖金水平同樣呈持續(xù)上升的趨勢。

勒索軟件背后的高額“利潤”刺激了更多網(wǎng)絡威脅分子投身其中，衍生出了類似 RaaS（勒索軟件及服務）等高效率的勒索模式，逐步構(gòu)建起了完善的勒索生態(tài)鏈，為勒索軟件攻擊事件“繁殖”提供了良好土壤。根據(jù)微步在線發(fā)布的《2023 年威脅情報及 APT 活動分析報告》顯示，據(jù)不完全統(tǒng)計全球勒索軟件數(shù)量已達 1940 個，其中 2023 年新增了 43 個勒索團伙。

新興的勒索軟件擁有極其豐富的進攻武器，利用先進的技術(shù)手段和精密策略，針對個人、大型企業(yè)組織，甚至一些關(guān)鍵基礎(chǔ)設(shè)施發(fā)動網(wǎng)絡攻擊，給其造成了嚴重的數(shù)據(jù)信息泄露和經(jīng)濟損失，逐漸在互聯(lián)網(wǎng)行業(yè)“嶄露頭角”。

此外，新型勒索軟件不斷演化和壯大逐步擠壓了 LockBit、Rvil 和 Conti 等老牌勒索軟件的勢力范圍。因此，為重新樹立行業(yè)地位，老牌勒索軟件開始大規(guī)模開展網(wǎng)絡攻擊活動，瘋狂刷“存在感”，其中當屬 Clop 勒索軟件最為活躍，其攻擊目標涵蓋了醫(yī)療、政府、金融、能源、交通等全球數(shù)百家知名實體組織。

2023 年發(fā)生的數(shù)千起勒索軟件攻擊案例中，至少有 20% 由 Clop 勒索軟件團伙或其旗下附屬組織發(fā)起，這一占比遠遠超過近年來備受行業(yè)關(guān)注的 LockBit 勒索軟件團伙，更是把其它勒索軟件團伙遙遙甩在身后。

Clop 勒索軟件發(fā)展歷程以及運營策略

2019 年 2 月，一個宣稱專門針對全球范圍內(nèi)大型企業(yè)和國有機構(gòu)的 CryptoMix 勒索軟件變種——Clop 勒索軟件“橫空出世”，使用 Clop 相關(guān)后綴加密文件來勒索目標。2020 年 3 月，Clop 勒索軟件團伙首次在暗網(wǎng)上啟用了一個泄露站點，專門用于發(fā)布受害者信息，以便實施雙重勒索攻擊。

短短數(shù)月后，Clop 勒索軟件組織就成功入侵全球最大的軟件公司之一 Software AG，要求其支付超過 2000 萬美金。最后由于沒有收到贖金，該團伙在暗網(wǎng)公布了 Software AG 公司數(shù)據(jù)截圖。此后，Clop 勒索軟件先后又發(fā)起幾次勒索行動，在行業(yè)內(nèi)”聲名鵲起“。

通過對 Clop 勒索軟件受害者系統(tǒng)和贖金談判案例詳細分析，安全研究人員判定其背后運營者采用了雙重勒索的模式運營該勒索軟件。

從攻擊手段來看，Clop 勒索軟件團伙前期主要通過有效訪問憑證和漏洞武器化等方式，突破攻擊目標的網(wǎng)絡防御系統(tǒng)。公開資料顯示， Clop 勒索軟件團伙曾利用了 Accellio 公司文件傳輸設(shè)備（FTA），SolarWinds 公司Serv-U托管文件傳輸（MFT），F(xiàn)ortra 公司 GoAnywhere MFT 和 Progress 公司 MOVEit MFT 等產(chǎn)品的相關(guān)漏洞，實現(xiàn)對潛在攻擊目標系統(tǒng)的初始訪問。

一旦擊穿攻擊目標的網(wǎng)絡防御系統(tǒng)后，Clop 勒索軟件會立刻在受害者系統(tǒng)中部署橫向滲透和遠程控制等”輔助性“工具，以便對受害者內(nèi)部網(wǎng)絡系統(tǒng)進行橫向滲透，感染其它內(nèi)部系統(tǒng)，以達到最大化程度破壞系統(tǒng)。

完成一系列內(nèi)部文件加密后，Clop 勒索軟件團伙就開始套路受害者，索要巨額贖金了。

首先是威脅，Clop 勒索軟件在進入受害者系統(tǒng)后會立刻加密所有能獲得權(quán)限的文件資料，并且使用經(jīng)過驗證和數(shù)字簽名的可執(zhí)行文件來，使其看起來像一個合法的文件，以逃避安全工具檢測。如果受害者想要換文件解密密鑰，就必須支付贖金。接到贖金勒索通知后，一些網(wǎng)絡安全能力不強的受害者企業(yè)往往就繳械投降，乖乖支付贖金了。

隨著企業(yè)加強對網(wǎng)絡安全的重視程度，企業(yè)對于自身安全的資源投入逐步增長，安全防御技術(shù)飛速發(fā)展，一些重要數(shù)據(jù)都設(shè)置了容災備份，并且部署了很多的安全防御設(shè)備。此時，勒索軟件再通過加密重要文件，勒索受害者已然很難收到贖金。

網(wǎng)絡安全研究人員很快就發(fā)現(xiàn) Clop 勒索軟件升級了勒索策略，不僅會加密受害者的部分重要文件，還試圖關(guān)閉一些與容災備份和安全工具相關(guān)的進程和服務，以阻止受害者恢復數(shù)據(jù)或檢測網(wǎng)絡攻擊，并且盜取大量重要數(shù)據(jù)資料。

后續(xù)贖金談判過程中，如果受害者拒絕支付贖金，面臨的可能不僅僅是內(nèi)部網(wǎng)絡系統(tǒng)癱瘓，更甚者大量機密信息被 Clop 勒索軟件團伙上傳到其數(shù)據(jù)泄露站點上，“待價而沽”，供其它勒索軟件團伙購買使用。據(jù) SentinelLabs 相關(guān)研究結(jié)果顯示，Clop 勒索軟件的數(shù)據(jù)泄露網(wǎng)站在 2023 年發(fā)布了約 353 名受害者的被盜資料。

Clop 勒索軟件團伙襲擊了數(shù)千家實體組織

雙重勒索策略既增加了受害者支付贖金的壓力，同時又能夠吸引更多勒索軟件團伙購買竊取的數(shù)據(jù)，賺取”額外“資金，一舉兩得。憑借自身技術(shù)和運營策略方面的優(yōu)勢，Clop 勒索軟件很快就搶走了 LockBit、Conti 等勒索軟件組織的”風頭“。

2020 年 10 月，Clop 勒索軟件團伙針對德國軟件巨頭 Softawre AG 發(fā)起了網(wǎng)絡攻擊，正式打響了在互聯(lián)網(wǎng)領(lǐng)域的“第一槍”。在成功進入 Softawre AG 內(nèi)網(wǎng)后，Clop 勒索軟件立刻加密了部分文件，盜取大量數(shù)據(jù)資料，并要求其支付 2000 萬美元贖金換取解密密鑰。贖金談判失敗后，Clop 勒索軟件團伙在其泄密網(wǎng)站上公布了 Softawre AG 公司內(nèi)網(wǎng)數(shù)據(jù)的部分截圖，其中包括員工護照、電子郵件、財務文件和目錄等。

2020 年 12 月，Clop 勒索軟件團伙又攻破了一家涉足零售商場、餐廳、主題公園、酒店和建筑業(yè)務的韓國集團 E-Land Retail 的網(wǎng)絡防御系統(tǒng)，并且從該公司竊取了 200 萬張信用卡數(shù)據(jù)，最終迫使該公司關(guān)閉了 23 家NC百貨商店和新的核心門店。

2021 年 12 月，英國媒體披露 Clop 勒索軟件團伙竊取了英國警方的機密數(shù)據(jù)，并在暗網(wǎng)上泄露。（值得一提的是，Clop 勒索軟件團伙一開始的攻擊目標是 IT 公司 Dacoll，網(wǎng)絡犯罪分子利用網(wǎng)絡釣魚破壞了該公司系統(tǒng)后，意外獲得了包括 PNC（英國警察計算機網(wǎng)絡）數(shù)據(jù)信息在內(nèi)的 1300萬人的個人信息和記錄）最后，由于 Dacoll 公司拒絕付款，網(wǎng)絡犯罪團伙 Clop 在其暗網(wǎng)上公布了部分被盜資料。

Clop 盜竊的文件還包括從國家自動車牌識別（ANPR）系統(tǒng)中流出的駕駛者圖像

Clop 勒索軟件團伙在 2021 年利用 Accellion 的文件共享系統(tǒng) FTA 中存在的未知漏洞，入侵包含了殼牌石油公司、信息安全業(yè)者 Qualys、加拿大噴氣式飛機制造商 Bombardier、新加坡電信、美國華盛頓州審計官辦公室，以及新西蘭儲備銀行等大型組織在內(nèi)的多個實體機構(gòu)，獲取了高額贖金。

此外，Clop 勒索軟件團伙在 Fortra  GoAnywhere MFT（托管文件傳輸）工具中發(fā)現(xiàn)一個零日漏洞，并利用其發(fā)起了廣泛性勒索攻擊，最終波及到了包括寶潔公司、多倫多市政府和美國最大的醫(yī)療保健提供商 Community Health Systems 等在內(nèi)的 100 多家企業(yè)組、政府組織。

不久后， Clop 勒索軟件團伙又利用 MOVEit Transfer 文件傳輸漏洞進行了大規(guī)模網(wǎng)絡攻擊，包括美國能源部 (DOE)、北卡羅來納州主要醫(yī)院在內(nèi)的多家全球知名的實體組織成為了受害者，目前受害者數(shù)量一直在持續(xù)增長。

Clop 勒索軟件團伙的”秘密武器“

Clop 勒索軟件團伙能夠摘取如此大的”勝利果實“不僅僅依仗先進的勒索策略，其豐富的進攻手段同樣起到至關(guān)重要的作用。Clop 勒索軟件團伙屬于流行的 Cryptomix 勒索軟件家族，作為一種危險的文件加密病毒，會主動避開未受保護的安全系統(tǒng)，并通過植入 .Clop 擴展名來加密保存的文件。早期，Clop 勒索軟件團伙主要利用 AES 密碼加密圖片、視頻、音樂、數(shù)據(jù)庫文件，并附加 .CLOP 或 .CIOP 文件擴展名，從而阻止受害者訪問個人數(shù)據(jù)（例如，"sample.jpg "被重命名為 "sample.jpg.Clop"），威脅范圍涵蓋了 Windows XP、Windows7、Windows8、Windows8.1和Windows10 等大多數(shù)操作系統(tǒng)版本。

此外，能夠取得如此“輝煌” 的戰(zhàn)績與 Clop 勒索軟件團伙善用使用網(wǎng)絡釣魚策略有很大關(guān)系，這些電子郵件包含 HTML 附件，一旦受害者打開郵件中的某個帶有惡意鏈接的字段，這些附件就會立刻悄無聲息的將受害者重定向到用于安裝名為 Get2 的加載程序的啟用宏的文檔。

該加載程序有助于下載其他工具，例如 SDBOT、FlawedAmmyy 和 Cobalt Strike ，一旦進入系統(tǒng)，Clop 勒索軟件團伙就會進行資源偵察、橫向移動和滲透，為后續(xù)部署勒索軟件做好準備。之后，Clop 勒索軟件團伙會通過發(fā)送電子郵件脅迫受害者進行贖金談判。如果受害者對勒索信息選擇視而不見，Clop 勒索軟件團伙成員就會威脅在其數(shù)據(jù)泄露網(wǎng)站“Cl0p^_-Leaks”上公布被盜數(shù)據(jù)。

Clop 勒索軟件運營商還非常善用設(shè)備中存在的安全漏洞進行網(wǎng)絡攻擊活動，其中最早可追溯到包含以下漏洞的 Accellion文件傳輸設(shè)備組合漏洞：

• CVE-2021-27101，通過精心制作的頭部字段進行SQL注入;
• CVE-2021-27102，本地web服務調(diào)用導致的操作系統(tǒng)命令注入;
• CVE-2021-27103，精心制作的POST請求來進行服務端請求偽造;
• CVE-2021-27104，精心制作的POST請求進行操作系統(tǒng)命令注入。

Clop 勒索軟件利用上述漏洞組合在受害目標服務器上植入一個名為 DEWMODE 的 webshell，惡意腳本在成功被啟用后，便立刻開始查詢受害者數(shù)據(jù)庫中存儲文件的相關(guān)信息，甚至還帶有清理網(wǎng)絡攻擊活動痕跡的功能。

值得注意的是，上述提到的“Fortra  GoAnywhere MFT“漏洞組也被該團伙大規(guī)模利用過，近期影響美國多個政府機構(gòu)、實體組織的 MOVEit 管理文件傳輸平臺漏洞利用攻擊事件背后的”真兇“也是 Clop 勒索軟件團伙。

Clop 勒索軟件團伙不斷被打擊，又不斷重生

Clop 勒索軟件聲名鵲起之后，很快被各國的執(zhí)法人員盯上了。2021年，烏克蘭、韓國及美國執(zhí)法部門合作開展一項國際執(zhí)法行動，烏克蘭警方出手逮捕了至少 6 名與 Clop 勒索軟件團伙有關(guān)的網(wǎng)絡犯罪分子，關(guān)閉了其攻擊活動中使用的基礎(chǔ)設(shè)施，還對位于基輔的21 套房屋展開了詳細搜查。

聯(lián)合執(zhí)法人員在本次活動中查獲了網(wǎng)絡犯罪分子使用的計算機、智能手機與服務器設(shè)備，以及500 萬烏克蘭格里夫納（折合 18 萬美元以上）現(xiàn)金、多輛特斯拉、奔馳與雷克薩斯等品牌的汽車。

盡管聯(lián)合執(zhí)法行動使得 Clop 勒索軟件部分基礎(chǔ)設(shè)施被查封、成員被逮捕，卻沒有阻止 Clop 勒索軟件組織持續(xù)作案的腳步， 2021 年 10 月，研究人員在分析某次網(wǎng)絡攻擊事件是觀察到，Clop 勒索軟件又再次進行了迭代升級，引入以下新功能。

• Clop v2 的一個突出特點是它實現(xiàn)了雙重勒索。除了加密文件之外，除非支付贖金，否則此版本還脅要暴露受害者數(shù)據(jù)。這種雙重威脅加劇了影響，不僅擾亂了業(yè)務運營，還危及敏感信息;
• Clop v2 添加到其工具包中，將其范圍擴展到基于云的環(huán)境，利用 Microsoft Azure 和 Amazon Web Services 等平臺中的漏洞，對組織構(gòu)成威脅，無論數(shù)據(jù)存儲位置如何——無論是在本地還是在云中;
• Clop v2 引入了一些額外的特性和功能，包括：
• 加密功能擴展到網(wǎng)絡連接存儲 (NAS) 設(shè)備。
• 加密功能擴展至涵蓋 Linux 和 macOS 設(shè)備上的文件。
• 能夠禁用防病毒和安全軟件。
• 通過暴力攻擊和網(wǎng)絡釣魚電子郵件促進的網(wǎng)絡傳播。

Clop 勒索軟件還推出了幾種已知的變體，它們以同樣的方式從根本上破壞受害者系統(tǒng)，隨著每一種新變體的出現(xiàn)，技術(shù)交付方法變得更加復雜。一個新變體的標志之一是文件擴展名，據(jù)記錄，這些擴展名顯示為“CIIp”、“.Clp”、“C_L_O_P”、“ClopReadMe.txt”、“README_README.txt”、“Cl0pReadMe.txt”和“READ_ME_??！.txt”。

Clop 勒索軟件頑強的生存能力引發(fā)了全球很多國家的擔憂，紛紛懷疑其背后具有”國家力量“，多次聯(lián)合起來打擊該團伙的網(wǎng)絡犯罪活動，但大都收效甚微。為獲得更多有關(guān) Clop 勒索軟件團伙的情報，美國國務院直接懸賞了 1000 萬美元。

（圖片來源：空間閑話 plus）

RaaS 模式和雙重勒索已成常態(tài)

從 Clop 、LockBit 等勒索軟件的發(fā)展歷程來看，作為一種持續(xù)威脅，勒索軟件不僅具有頑強的生命力和”再生“能力，也呈現(xiàn)出了一些新的趨勢和特點。RaaS（Ransomware as a Service）模式和雙重勒索已經(jīng)成為勒索攻擊的常態(tài)化現(xiàn)象，使得黑客無需具備深厚的技術(shù)功底，只需購買勒索軟件即可發(fā)起攻擊，從而降低了勒索攻擊的門檻，提高了攻擊效率。

一個重要的新趨勢是“自動化勒索”，安全專家多次強調(diào)在 AI 大模型飛速發(fā)展的背景下，很多勒索團伙都會更加積極探索這一方向。通過自動化工具和流程，威脅攻擊者能夠極大地節(jié)省攻擊時間和成本，提高攻擊效率和成功率，增加了對受害者的威脅感，使得應對勒索軟件攻擊變得更加復雜和困難，這種自動化的攻擊方式讓勒索軟件的威脅更加隱蔽和具有持續(xù)性，給網(wǎng)絡安全帶來了更大的挑戰(zhàn)。

更糟糕的是，一旦受害企業(yè)支付了贖金，可能會成為其他勒索軟件團伙的目標，面臨多次勒索要求的威脅。隨著勒索軟件不斷演進，攻擊模式和勒索策略勢必會呈現(xiàn)出新的特點，對網(wǎng)絡安全形勢提出了更大的考驗。因此，企業(yè)和組織需要采取更加全面、有效的網(wǎng)絡安全措施，以應對不斷變化的勒索軟件攻擊威脅。