两个月内 50 家公司遭入侵,互联网上最具规模的黑客组织 Cl0p 逐渐浮出水面

  • A+
所属分类:安全新闻

两个月内 50 家公司遭入侵,互联网上最具规模的黑客组织 Cl0p 逐渐浮出水面

文章来源:安全圈

2021 年 3 月底,供职于加拿大网络安全公司 Emsisoft 的研究员凯特(Kat Garcia)收到了一封陌生的邮件。邮件发送者自称是来自网络黑客组织 Cl0p 的成员,他声称该组织已经掌握了凯特的个人电话、邮箱、家庭住址、信用卡信息和社会安全号码。

这是一封威胁信。通过入侵凯特曾光顾过的一家母婴服装店的数据服务器,黑客获得了她记录在服务器上的私人信息。在信中,对方要求通过凯特与 Emsisoft 公司取得联系,并通知她,如果公司没有与 Cl0p 联系,那么她的个人信息将被公布在暗网上。此外,黑客还用挑衅的口吻写道:" 你也可以致电这家商店,让商家保护你的个人隐私。"

凯特将受威胁一事告诉了 Vice,后者将其梳理成了一篇报道。4 月 14 日,这篇报道刊载出来,将目前互联网黑客活动最频繁的黑客组织 Cl0p 的一部分运作模式公之于众。

据 ComputerWeekly 此前的报道显示,凯特并不是唯一的受害人。2021 年 2 月 11 日,新加坡电信公司的一台旧服务器遭遇黑客入侵;2 月 24 日,加拿大飞机制造商庞巴迪公司服务器被黑,部分内部数据被公开在暗网;3 月 4 日,Cl0p 入侵网络安全服务供应商 Qualys 的服务器,并在暗网公布了文件截图,泄露数据包括发票、采购订单、税务文件和数据报告;3 月 23 日,能源巨头壳牌公司发布声明,称其数据服务器在 2020 年 12 月就遭遇了黑客攻击,被盗数据包括个人数据以及设计公司和利益相关者的数据。

一系列入侵行动的始作俑者都是 Cl0p。他们以凯特这样的个人为切入点,通过威胁公司职员获得所需的数据,再通过这些数据入侵目标公司的服务器。这一过程中,该组织频繁利用了一个文件共享服务漏洞。这一漏洞出现在由 Appliance 公司提供技术支持的文件系统中,全球约有 300 家企业在使用这项服务。

这一入侵手法被称为 " 供应链攻击 "(supply chain attack),黑客利用互联网服务供应商与用户间的信任,针对供应商的软件漏洞对该供应商的用户展开大规模入侵。之后以数据为要挟要求公司支付赎金,如果受害者及时付款,数据会被删除,黑客甚至会录制删除视频以证明危机已经解除,如果不按时付款,Cl0p 就会开始逐步放出该公司的数据。

目前,Cl0p 的受害者名单上已经扩展到了多达 50 家企业和机构,从壳牌这样的商业公司到斯坦福大学这样的学校,都已经被他们染指过。而一位就职于一家韩国网络安全公司的研究员近期发现,某些受害公司的数据已经从暗网上被移除,该研究人员怀疑已经有公司向 Cl0p 支付了赎金。

两个月内 50 家公司遭入侵,互联网上最具规模的黑客组织 Cl0p 逐渐浮出水面

该组织近日宣称,包括斯坦福大学在内他们已经入侵了美国六所大学的数据库,并盗取了学生和职员的个人隐私信息

但另一些研究者认为,目前我们所知道的受害者和案件或许只是冰山一角。一位长期追踪网络黑客行动的研究者告诉 Vice,Cl0p 看似于 2020 年年底活跃至今,但事实上该组织存在的时间远比想象中的要长久。他们可能已经多次易名,真要追踪起来,2017-2018 年间在网络展开针对金融、零售和酒店业公司的有组织黑客行动的网络组织 FIN11,以及 2019 年臭名昭著的比特币勒索事件的始作俑者 TA505 都是该组织的前身。

网络安全公司 FireEye 此前发布的调研报告指出,比起其他零散的黑客组织,Cl0p 展现出了更组织化的行动模式。他们的入侵方式并不精巧,而是以量取胜,每周该组织都会进行约五次的大规模入侵,甚至可能将部分黑客工作通过外包给其他 " 黑客散户 " 以实现他们的大面积入侵。

一位追踪 Cl0p 的安全研究员告诉 Vice,在调研过程中,他发现该组织就像机器一样运作着,他如此描述 Cl0p:" 冷酷无情、复杂而创新、组织严密、结构合理 ",并且 " 非常活跃,几乎不休不眠 "。一位黑客在与受害者交涉的过程中声称:" 在我们的团队中没有‘我’,只有‘我们’,每个人都是可以被替换的。"

一些受害公司向 Vice 透露,Cl0p 在与他们交涉的过程中 " 彬彬有礼 ",并且愿意让步。此前曾有公司与之讨价还价,最终将赎金从 2000 万美金降低到了 600 万美金。如果快速支付赎金,Cl0p 还会提供一些 " 优惠 ",在 3-4 天内快速支付赎金的公司,Cl0p 会给他们打 30% 的折扣。

这很可能意味着 Cl0p 的管理效率颇高,或者团队达成了一致的共识。因为大部分黑客组织常常会在取得成功后暴露出贪婪的一面,但 Cl0p 显然更倾向于缓慢地、有组织地扩展和增长。

目前针对该组织的追踪调查还在继续。FireEye 金融犯罪分析团队经理古迪(Kimberly Goody)告诉 Vice,分析工作有了一点点进展。她的团队在解析 Cl0p 的勒索软件时发现了该软件中有俄语的元数据,并且该组织的行为习惯也符合俄罗斯所在时区的作息。但这并不意味着该组织来自俄罗斯,古迪表示,如果黑客们足够聪明,这些痕迹都是可以伪造的,以便不引起某些国家和地区政府的注意。

古迪认为,要找到潜伏于幕后的黑客,只能等待黑客犯错。只要黑客活动还在继续,他们 " 犯错只是时间问题 "。


精彩推荐
两个月内 50 家公司遭入侵,互联网上最具规模的黑客组织 Cl0p 逐渐浮出水面








成都某安全公司爆仓3个亿,把警方的钱都亏完了!



两个月内 50 家公司遭入侵,互联网上最具规模的黑客组织 Cl0p 逐渐浮出水面




黑客用GitHub服务器挖矿,三天跑了3万个任务,代码惊现中文




两个月内 50 家公司遭入侵,互联网上最具规模的黑客组织 Cl0p 逐渐浮出水面




2021,越自律,越自由!网络安全就业班开班通知!



两个月内 50 家公司遭入侵,互联网上最具规模的黑客组织 Cl0p 逐渐浮出水面



多一个点在看

两个月内 50 家公司遭入侵,互联网上最具规模的黑客组织 Cl0p 逐渐浮出水面

多一条小鱼干


本文始发于微信公众号(黑白之道):两个月内 50 家公司遭入侵,互联网上最具规模的黑客组织 Cl0p 逐渐浮出水面

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: