打击网络犯罪 - 警方逮捕Clop 勒索软件团伙“成员”

  • A+
所属分类:安全新闻

打击网络犯罪 - 警方逮捕Clop 勒索软件团伙“成员”


就在周三美俄首脑会议将网络犯罪列为重中之重之前,乌克兰当局宣布他们已经逮捕了六名涉嫌参与 Clop 勒索软件行动的成员。

乌克兰国家警察周三表示,这些逮捕是由国际刑警组织协调的一项正在进行的国际行动的一部分,韩国(KNPA,韩国警察厅)和美国的执法机构也参与其中。


打击网络犯罪 - 警方逮捕Clop 勒索软件团伙“成员”


乌克兰警方表示,警方在基辅首都及周边地区进行了 21 次搜查,搜查了被告的房屋和汽车,并没收了计算机设备、汽车和约 18.5万美元现金。警方表示,他们还破坏了用于攻击的基础设施。


打击网络犯罪 - 警方逮捕Clop 勒索软件团伙“成员”

特斯拉、梅赛德斯和雷克萨斯


打击网络犯罪 - 警方逮捕Clop 勒索软件团伙“成员”


当局表示,被告参与了针对韩国和美国组织的攻击,包括斯坦福大学医学院(Stanford University Medical School)、马里兰大学(the University of Maryland)和加利福尼亚大学(the University of California)。

警方表示,2019 年仅针对四家未具名的韩国公司的攻击导致 810 台服务器和 PC Clop 勒索软件加密锁定。警方表示,作为这些攻击的一部分,Clop 行动使用了各种工具,包括将FlawedAmmyy RAT 部署到系统上以提供远程访问和运行 Cobalt Strike 渗透测试软件以查找可利用的漏洞,从而允许攻击者在网络中横向移动并感染更多系统。

如果对他们的黑客攻击和洗钱指控被定罪,嫌疑人将面临最高八年的监禁。


美俄峰会


逮捕消息是在美国总统拜登定于周三在日内瓦举行的峰会上会见俄罗斯总统普京前几个小时发布的。拜登一直呼吁普京采取更多措施,以遏制来自俄罗斯境内的个人发起的全球网络攻击。周日,主要工业国家在英格兰的一次会议上还呼吁“所有国家紧急识别和破坏在其境内运作的勒索软件犯罪网络,并让这些网络对其行为负责。”


勒索软件即服务运作模式(Ransomware-as-a-Service


Clop采取勒索软件即服务的运作模式。它提供了一个门户网站,附属机构或联盟成员可以使用该门户网站生成加密锁定的恶意软件,然后感染受害者。每次受害者付款时,勒索软件运营人员和附属机构都会分享利润。

威胁情报公司Digital Shadows的高级网络威胁情报分析师 Kim Bromley 表示:“Clop 勒索软件自 2019 2 月以来一直活跃,主要针对大型组织进行大型游戏狩猎。”大型游戏狩猎是指针对更大的受害者并寻求更大的赎金支付,包括两次收费 - 一次是解密者,一次是承诺删除被盗数据。

安全专家Hultquist说:Clop的攻击范围很广,Clop活动的已经被用来破坏和勒索全球各行业的组织,包括电信、制药、石油和天然气、航空航天和技术。


Clop的韩国受害者“报仇雪恨”


抓捕行动始于2019年的调查,当时Clop勒索软件团伙入侵了四家韩国公司并加密了他们的文件,要求巨额赔偿。

接近调查的消息人士表示,在 Clop 团伙于 2020 11 月感染了韩国电子商务巨头 E-Land 的网络后,迫使这家韩国公司关闭了几乎所有的商店后,韩国警方加大了对该团伙的调查力度。

在罕见的情况下,韩国警察在本周突袭Clop嫌疑人时亲自到场,这通常是由当地执法机构处理的。



逮住的是小虾米还是大鱼?


一些网络犯罪观察者说,被捕的嫌疑人似乎不是Clop(又名Cl0p)的核心成员。


打击网络犯罪 - 警方逮捕Clop 勒索软件团伙“成员”


威胁情报公司Intel 471 表示:“乌克兰与 Clop 勒索软件相关的执法突袭仅限于 Clop 业务的套现/洗钱方面。我们不相信 Clop 背后的任何核心成员被逮捕,我们相信他们可能住在俄罗斯。”


专家表示,与处理攻击兑现(包括运钞车)以及洗钱的团伙有关的个人往往很容易被替换。


即便如此,Clop的行动受到干扰可能会促使该组织的核心成员低调行事。


打击的速度在加快


显然,越来越多的执法机构正在打击勒索软件操作。安全公司 Emsisoft 的威胁分析师 Brett Callow 表示:“随着 AvaddonNetWalkerBabuk Clop 都已经退休、被破坏或改变了他们的商业模式,勒索软件领域正在经历可能是有史以来最大的一次重组。”

他说:"长期以来,勒索软件团伙的行动几乎完全不受惩罚,但这终于开始改变了。成功的执法行动不仅使目标威胁者失去行动能力,还具有威慑作用,而这正是我们需要的。"

勒索软件是指一系列广泛的犯罪活动,其中可能包括加密锁定恶意软件,还包括数字勒索,包括在强行加密受害者系统之前从受害者那里窃取数据。许多勒索软件团伙,包括 Clop,都运行专门的数据泄漏站点,旨在增加受害者的支付压力。

任何拒绝支付赎金的受害者都会在数据泄露网站上发现自己“被点名和羞辱”。持续不付款可能会导致勒索软件操作泄露被盗详细信息。如果受害者仍然不付款,犯罪分子通常会将所有被盗数据转储供任何人下载,以此作为对未来受害者的教训。


打击网络犯罪 - 警方逮捕Clop 勒索软件团伙“成员”


Clop Tor 支付和数据泄漏站点仍在运行,因此看起来 Clop 勒索软件的操作目前尚未完全关闭。

截至周三,"Clop泄密 "网站上没有提到在乌克兰的逮捕事件。

参考来源:
https://www.npu.gov.ua/news/kiberzlochini/kiberpolicziya-vikrila-xakerske-ugrupovannya-u-rozpovsyudzhenni-virusu-shifruvalnika-ta-nanesenni-inozemnim-kompaniyam-piv-milyarda-dolariv-zbitkiv/

https://cyberpolice.gov.ua/news/kiberpolicziya-vykryla-xakerske-ugrupovannya-u-rozpovsyudzhenni-virusu-shyfruvalnyka-ta-nanesenni-inozemnym-kompaniyam-piv-milyarda-dolariv-zbytkiv-2402/


往期精选


围观

威胁猎杀实战(六):横向移动攻击检测


热文

全球“三大”入侵分析模型


热文

实战化ATT&CK:威胁情报


打击网络犯罪 - 警方逮捕Clop 勒索软件团伙“成员”

本文始发于微信公众号(天御攻防实验室):打击网络犯罪 - 警方逮捕Clop 勒索软件团伙“成员”

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: