勒索软件团伙在MOVEit黑客事件之前就一直困扰着美国公司 - 彭博报道
Jamie Tarabay
Clop是勒索软件的一种变体,用于加密受害者的计算机文件以换取赎金。
来源:彭博社壳牌公司,国际航空集团(IAG SA)的英国航空,英国广播公司,明尼苏达州教育部多个联邦机构等都是Clop最新数据泄露的受害者,这是由俄罗斯黑客组织发起的攻击,针对全球公共和私营部门的目标。
Clop团伙,也被称为Cl0p,以“推动犯罪恶意软件分发的全球趋势”而闻名根据美国网络安全和基础设施安全局(CISA)的说法,Clop通过利用MOVEit中的漏洞实施了最新的数据泄露,MOVEit是公司和组织用来传输敏感数据的文件传输产品。一旦黑客入侵了MOVEit,他们就可以访问存储在MOVEit服务器上的数据,这是一个门户,使他们能够从拥有数万名员工和处理数百万人敏感数据的行业巨头那里窃取个人信息。这个黑客组织声称从数百家公司那里获取了数据,虽然很难证实这一指控,但受害者名单不断增加。例如,美国能源部收到Clop的赎金要求,因为其两个实体受到了此次数据泄露的影响。管理着与该部门几个国家实验室的合同的奥克岭联合大学和维护美国核武库的机构国家核安全管理局收到了这一要求,但未做出回应,奥克岭的一位发言人表示。据路透社报道,受到黑客攻击影响的能源部门还收到了另一份赎金要求,这是储存新墨西哥州地下核废料的废物隔离试验工厂。Clop是勒索软件的一种变体,一种用于加密受害者计算机文件以换取赎金的恶意软件。它也是一个以金钱为动机的犯罪团伙的名称,他们使用各种方法勒索受害者:通过部署勒索软件并要求付款;通过窃取敏感文件并威胁将其发布到网上,除非付款;或两者兼而有之。
受Clop-MOVEit黑客攻击影响的公司和组织
来源:采访,公司/组织声明
* 调查潜在的数据泄露
Clop多年来一直在磨练这种类型的数据泄露,私人情报公司Kroll LLC的研究人员 发现。
这似乎是他们的标志性攻击之一。几年前,Clop 利用了Accellion公司当时推出的文件传输产品中的软件漏洞,从而 获取了摩根士丹利、Jones Day等公司的数据。Accellion后来改名为Kiteworks。
今年早些时候,该组织 声称 对另一款名为 GoAnywhere的文件传输产品,来自Fortra LLC 进行了黑客攻击。
“这一发现说明了像MOVEit Transfer网络攻击这样的大规模利用事件背后的复杂知识和计划,”入侵者利用单一的漏洞点试图妥协尽可能多的受害者,Kroll的研究人员说。
网络犯罪专家表示,他们最早在2019年得知该组织的恶意软件,当时它发起了一场网络钓鱼活动,作为一系列针对韩国公司和美国学术机构的勒索软件攻击的一部分。目标清单很快扩大到包括全球金融、保险、制造和通讯公司,根据网络安全公司Trend Micro, Inc.的说法。
到了2021年,该组织开始炫耀其成功。那年2月,它在暗网上的页面 —— 被称为羞辱网站 —— 列出了美国、新加坡和荷兰等地的许多受害者,安全公司Mandiant Inc. 报告说。
那一年的6月,乌克兰警方 表示他们逮捕了多名嫌疑人,据称他们与Clop勒索软件合作,勒索美国和韩国的组织。执法官员称,该组织骗取了5亿美元的受害者。
“Clop勒索软件组一直是一个持久而具破坏性的威胁行为者,”网络威胁情报公司Intel 471的首席情报官迈克尔·德博尔特(Michael DeBolt)表示。“该团伙使用的漏洞在攻击开始之前是未知的,这使得使用该软件的组织处于一个大多数无法防御的位置。在漏洞被公开之前就利用这样的漏洞意味着Clop拥有开发或获取这种能力的资源和能力。”
与其他讲俄语的勒索软件组一样,Clop避开了前苏联国家作为目标。事实上:它的恶意软件甚至无法入侵主要以俄语操作的计算机,韩国网络安全公司AhnLab发现。
但在其他地方并没有表现出太多克制。Clop以瞄准医疗保健部门而闻名,并且在2022年,它声称对一家为超过150万人提供水的英国公司发动了攻击。在当时的暗网站声明中,Clop团伙声称他们窃取了大量数据,并已获得了控制水中化学物质水平的系统的访问权限。“如果你感到震惊,那是好事,”该团伙表示。