起底“疯狂”作案的勒索软件 Clop

2023 年，勒索软件的“赎金成果”又取得成倍增长。从市场调查机构 Chainalysis 最新报告来看，勒索软件仅从受害者处获得的加密货币价值就超过了十亿美金。同时，该机构还指出平均勒索赎金水平同样呈持续上升的趋势。

勒索软件背后的高额“利润”刺激了更多网络威胁分子投身其中，衍生出了类似 RaaS（勒索软件及服务）等高效率的勒索模式，逐步构建起了完善的勒索生态链，为勒索软件攻击事件“繁殖”提供了良好土壤。根据微步在线发布的《2023 年威胁情报及 APT 活动分析报告》显示，据不完全统计全球勒索软件数量已达 1940 个，其中 2023 年新增了 43 个勒索团伙。

新兴的勒索软件拥有极其丰富的进攻武器，利用先进的技术手段和精密策略，针对个人、大型企业组织，甚至一些关键基础设施发动网络攻击，给其造成了严重的数据信息泄露和经济损失，逐渐在互联网行业“崭露头角”。

此外，新型勒索软件不断演化和壮大逐步挤压了 LockBit、Rvil 和 Conti 等老牌勒索软件的势力范围。因此，为重新树立行业地位，老牌勒索软件开始大规模开展网络攻击活动，疯狂刷“存在感”，其中当属 Clop 勒索软件最为活跃，其攻击目标涵盖了医疗、政府、金融、能源、交通等全球数百家知名实体组织。

2023 年发生的数千起勒索软件攻击案例中，至少有 20% 由 Clop 勒索软件团伙或其旗下附属组织发起，这一占比远远超过近年来备受行业关注的 LockBit 勒索软件团伙，更是把其它勒索软件团伙遥遥甩在身后。

Clop 勒索软件发展历程以及运营策略

2019 年 2 月，一个宣称专门针对全球范围内大型企业和国有机构的 CryptoMix 勒索软件变种——Clop 勒索软件“横空出世”，使用 Clop 相关后缀加密文件来勒索目标。2020 年 3 月，Clop 勒索软件团伙首次在暗网上启用了一个泄露站点，专门用于发布受害者信息，以便实施双重勒索攻击。

短短数月后，Clop 勒索软件组织就成功入侵全球最大的软件公司之一 Software AG，要求其支付超过 2000 万美金。最后由于没有收到赎金，该团伙在暗网公布了 Software AG 公司数据截图。此后，Clop 勒索软件先后又发起几次勒索行动，在行业内”声名鹊起“。

通过对 Clop 勒索软件受害者系统和赎金谈判案例详细分析，安全研究人员判定其背后运营者采用了双重勒索的模式运营该勒索软件。

从攻击手段来看，Clop 勒索软件团伙前期主要通过有效访问凭证和漏洞武器化等方式，突破攻击目标的网络防御系统。公开资料显示， Clop 勒索软件团伙曾利用了 Accellio 公司文件传输设备（FTA），SolarWinds 公司Serv-U托管文件传输（MFT），Fortra 公司 GoAnywhere MFT 和 Progress 公司 MOVEit MFT 等产品的相关漏洞，实现对潜在攻击目标系统的初始访问。

一旦击穿攻击目标的网络防御系统后，Clop 勒索软件会立刻在受害者系统中部署横向渗透和远程控制等”辅助性“工具，以便对受害者内部网络系统进行横向渗透，感染其它内部系统，以达到最大化程度破坏系统。

完成一系列内部文件加密后，Clop 勒索软件团伙就开始套路受害者，索要巨额赎金了。

首先是威胁，Clop 勒索软件在进入受害者系统后会立刻加密所有能获得权限的文件资料，并且使用经过验证和数字签名的可执行文件来，使其看起来像一个合法的文件，以逃避安全工具检测。如果受害者想要换文件解密密钥，就必须支付赎金。接到赎金勒索通知后，一些网络安全能力不强的受害者企业往往就缴械投降，乖乖支付赎金了。

随着企业加强对网络安全的重视程度，企业对于自身安全的资源投入逐步增长，安全防御技术飞速发展，一些重要数据都设置了容灾备份，并且部署了很多的安全防御设备。此时，勒索软件再通过加密重要文件，勒索受害者已然很难收到赎金。

网络安全研究人员很快就发现 Clop 勒索软件升级了勒索策略，不仅会加密受害者的部分重要文件，还试图关闭一些与容灾备份和安全工具相关的进程和服务，以阻止受害者恢复数据或检测网络攻击，并且盗取大量重要数据资料。

后续赎金谈判过程中，如果受害者拒绝支付赎金，面临的可能不仅仅是内部网络系统瘫痪，更甚者大量机密信息被 Clop 勒索软件团伙上传到其数据泄露站点上，“待价而沽”，供其它勒索软件团伙购买使用。据 SentinelLabs 相关研究结果显示，Clop 勒索软件的数据泄露网站在 2023 年发布了约 353 名受害者的被盗资料。

Clop 勒索软件团伙袭击了数千家实体组织

双重勒索策略既增加了受害者支付赎金的压力，同时又能够吸引更多勒索软件团伙购买窃取的数据，赚取”额外“资金，一举两得。凭借自身技术和运营策略方面的优势，Clop 勒索软件很快就抢走了 LockBit、Conti 等勒索软件组织的”风头“。

2020 年 10 月，Clop 勒索软件团伙针对德国软件巨头 Softawre AG 发起了网络攻击，正式打响了在互联网领域的“第一枪”。在成功进入 Softawre AG 内网后，Clop 勒索软件立刻加密了部分文件，盗取大量数据资料，并要求其支付 2000 万美元赎金换取解密密钥。赎金谈判失败后，Clop 勒索软件团伙在其泄密网站上公布了 Softawre AG 公司内网数据的部分截图，其中包括员工护照、电子邮件、财务文件和目录等。

2020 年 12 月，Clop 勒索软件团伙又攻破了一家涉足零售商场、餐厅、主题公园、酒店和建筑业务的韩国集团 E-Land Retail 的网络防御系统，并且从该公司窃取了 200 万张信用卡数据，最终迫使该公司关闭了 23 家NC百货商店和新的核心门店。

2021 年 12 月，英国媒体披露 Clop 勒索软件团伙窃取了英国警方的机密数据，并在暗网上泄露。（值得一提的是，Clop 勒索软件团伙一开始的攻击目标是 IT 公司 Dacoll，网络犯罪分子利用网络钓鱼破坏了该公司系统后，意外获得了包括 PNC（英国警察计算机网络）数据信息在内的 1300万人的个人信息和记录）最后，由于 Dacoll 公司拒绝付款，网络犯罪团伙 Clop 在其暗网上公布了部分被盗资料。

Clop 盗窃的文件还包括从国家自动车牌识别（ANPR）系统中流出的驾驶者图像

Clop 勒索软件团伙在 2021 年利用 Accellion 的文件共享系统 FTA 中存在的未知漏洞，入侵包含了壳牌石油公司、信息安全业者 Qualys、加拿大喷气式飞机制造商 Bombardier、新加坡电信、美国华盛顿州审计官办公室，以及新西兰储备银行等大型组织在内的多个实体机构，获取了高额赎金。

此外，Clop 勒索软件团伙在 Fortra GoAnywhere MFT（托管文件传输）工具中发现一个零日漏洞，并利用其发起了广泛性勒索攻击，最终波及到了包括宝洁公司、多伦多市政府和美国最大的医疗保健提供商 Community Health Systems 等在内的 100 多家企业组、政府组织。

不久后， Clop 勒索软件团伙又利用 MOVEit Transfer 文件传输漏洞进行了大规模网络攻击，包括美国能源部 (DOE)、北卡罗来纳州主要医院在内的多家全球知名的实体组织成为了受害者，目前受害者数量一直在持续增长。

Clop 勒索软件团伙的”秘密武器“

Clop 勒索软件团伙能够摘取如此大的”胜利果实“不仅仅依仗先进的勒索策略，其丰富的进攻手段同样起到至关重要的作用。Clop 勒索软件团伙属于流行的 Cryptomix 勒索软件家族，作为一种危险的文件加密病毒，会主动避开未受保护的安全系统，并通过植入 .Clop 扩展名来加密保存的文件。早期，Clop 勒索软件团伙主要利用 AES 密码加密图片、视频、音乐、数据库文件，并附加 .CLOP 或 .CIOP 文件扩展名，从而阻止受害者访问个人数据（例如，"sample.jpg "被重命名为 "sample.jpg.Clop"），威胁范围涵盖了 Windows XP、Windows7、Windows8、Windows8.1和Windows10 等大多数操作系统版本。

此外，能够取得如此“辉煌” 的战绩与 Clop 勒索软件团伙善用使用网络钓鱼策略有很大关系，这些电子邮件包含 HTML 附件，一旦受害者打开邮件中的某个带有恶意链接的字段，这些附件就会立刻悄无声息的将受害者重定向到用于安装名为 Get2 的加载程序的启用宏的文档。

该加载程序有助于下载其他工具，例如 SDBOT、FlawedAmmyy 和 Cobalt Strike ，一旦进入系统，Clop 勒索软件团伙就会进行资源侦察、横向移动和渗透，为后续部署勒索软件做好准备。之后，Clop 勒索软件团伙会通过发送电子邮件胁迫受害者进行赎金谈判。如果受害者对勒索信息选择视而不见，Clop 勒索软件团伙成员就会威胁在其数据泄露网站“Cl0p^_-Leaks”上公布被盗数据。

Clop 勒索软件运营商还非常善用设备中存在的安全漏洞进行网络攻击活动，其中最早可追溯到包含以下漏洞的 Accellion文件传输设备组合漏洞：

l CVE-2021-27101，通过精心制作的头部字段进行SQL注入；

l CVE-2021-27102，本地web服务调用导致的操作系统命令注入；

l CVE-2021-27103，精心制作的POST请求来进行服务端请求伪造；

l CVE-2021-27104，精心制作的POST请求进行操作系统命令注入。

Clop 勒索软件利用上述漏洞组合在受害目标服务器上植入一个名为 DEWMODE 的 webshell，恶意脚本在成功被启用后，便立刻开始查询受害者数据库中存储文件的相关信息，甚至还带有清理网络攻击活动痕迹的功能。

值得注意的是，上述提到的“Fortra GoAnywhere MFT“漏洞组也被该团伙大规模利用过，近期影响美国多个政府机构、实体组织的 MOVEit 管理文件传输平台漏洞利用攻击事件背后的”真凶“也是 Clop 勒索软件团伙。

Clop 勒索软件团伙不断被打击，又不断重生

Clop 勒索软件声名鹊起之后，很快被各国的执法人员盯上了。2021年，乌克兰、韩国及美国执法部门合作开展一项国际执法行动，乌克兰警方出手逮捕了至少 6 名与 Clop 勒索软件团伙有关的网络犯罪分子，关闭了其攻击活动中使用的基础设施，还对位于基辅的21 套房屋展开了详细搜查。

联合执法人员在本次活动中查获了网络犯罪分子使用的计算机、智能手机与服务器设备，以及500 万乌克兰格里夫纳（折合 18 万美元以上）现金、多辆特斯拉、奔驰与雷克萨斯等品牌的汽车。

尽管联合执法行动使得 Clop 勒索软件部分基础设施被查封、成员被逮捕，却没有阻止 Clop 勒索软件组织持续作案的脚步， 2021 年 10 月，研究人员在分析某次网络攻击事件是观察到，Clop 勒索软件又再次进行了迭代升级，引入以下新功能。

Clop v2 的一个突出特点是它实现了双重勒索。除了加密文件之外，除非支付赎金，否则此版本还胁要暴露受害者数据。这种双重威胁加剧了影响，不仅扰乱了业务运营，还危及敏感信息；

Clop v2 添加到其工具包中，将其范围扩展到基于云的环境，利用 Microsoft Azure 和 Amazon Web Services 等平台中的漏洞，对组织构成威胁，无论数据存储位置如何——无论是在本地还是在云中；

Clop v2 引入了一些额外的特性和功能，包括：

加密功能扩展到网络连接存储 （NAS） 设备。

加密功能扩展至涵盖 Linux 和 macOS 设备上的文件。

能够禁用防病毒和安全软件。

通过暴力攻击和网络钓鱼电子邮件促进的网络传播。

Clop 勒索软件还推出了几种已知的变体，它们以同样的方式从根本上破坏受害者系统，随着每一种新变体的出现，技术交付方法变得更加复杂。一个新变体的标志之一是文件扩展名，据记录，这些扩展名显示为“CIIp”、“.Clp”、“C_L_O_P”、“ClopReadMe.txt”、“README_README.txt”、“Cl0pReadMe.txt”和“READ_ME_！！.txt”。

Clop 勒索软件顽强的生存能力引发了全球很多国家的担忧，纷纷怀疑其背后具有”国家力量“，多次联合起来打击该团伙的网络犯罪活动，但大都收效甚微。为获得更多有关 Clop 勒索软件团伙的情报，美国国务院直接悬赏了 1000 万美元。

（图片来源：空间闲话 plus）

RaaS 模式和双重勒索已成常态

从 Clop 、LockBit 等勒索软件的发展历程来看，作为一种持续威胁，勒索软件不仅具有顽强的生命力和”再生“能力，也呈现出了一些新的趋势和特点。RaaS（Ransomware as a Service）模式和双重勒索已经成为勒索攻击的常态化现象，使得黑客无需具备深厚的技术功底，只需购买勒索软件即可发起攻击，从而降低了勒索攻击的门槛，提高了攻击效率。

一个重要的新趋势是“自动化勒索”，安全专家多次强调在 AI 大模型飞速发展的背景下，很多勒索团伙都会更加积极探索这一方向。通过自动化工具和流程，威胁攻击者能够极大地节省攻击时间和成本，提高攻击效率和成功率，增加了对受害者的威胁感，使得应对勒索软件攻击变得更加复杂和困难，这种自动化的攻击方式让勒索软件的威胁更加隐蔽和具有持续性，给网络安全带来了更大的挑战。

更糟糕的是，一旦受害企业支付了赎金，可能会成为其他勒索软件团伙的目标，面临多次勒索要求的威胁。随着勒索软件不断演进，攻击模式和勒索策略势必会呈现出新的特点，对网络安全形势提出了更大的考验。因此，企业和组织需要采取更加全面、有效的网络安全措施，以应对不断变化的勒索软件攻击威胁。

原文来自: freebuf.com