CLOP 勒索软件团伙宣称入侵《华盛顿邮报》

10 月中旬，CLOP 勒索软件团伙首次宣称入侵《华盛顿邮报》，并将其列入 Tor 数据泄露网站。

CLOP（又称 Cl0p）是一个活跃的俄语勒索软件即服务（RaaS）团伙，专注于 “大型目标狩猎” 和 “双重勒索” 攻击。

该团伙于 2019 年 2 月左右首次出现在威胁格局中，脱胎于 TA505 网络犯罪集团 —— 这是一个至少自 2014 年起就活跃的以获利为目的的犯罪团伙。

与其他俄罗斯背景的威胁行为者一样，CLOP 会避开前苏联国家的目标，其恶意软件无法在主要使用俄语的计算机上激活。

团伙操作者及关联人员会锁定高价值目标，窃取敏感数据、加密网络，随后将被盗文件发布到数据泄露网站，向受害者施压以迫使其支付赎金。CLOP 会利用零日漏洞和存在漏洞的第三方软件（如 MOVEit、GoAnywhere、甲骨文 EBS 系统），借助初始访问中介和自动化工具，还会使用复杂的规避技术和横向移动技术，以最大化攻击影响和获利。

CLOP 的受害者包括Shell、英国航空公司、Bombardier、科罗拉多大学、普华永道以及BBC等。

该团伙发起的重大攻击活动包括：

• GoAnywhere MFT 攻击（2023 年）：利用漏洞 CVE-2023-0669 入侵了超过 130 家机构。
• MOVEit Transfer 攻击（2023 年）：通过 SQL 注入零日漏洞 CVE-2023-34362 实施，是历史上规模最大的勒索软件攻击活动之一，影响了全球数百家公司，包括美国和欧洲企业。
• Accellion FTA 攻击（2020-2021 年）：利用文件传输设备中的零日漏洞，从约 100 家机构窃取数据。

消息来源：securityaffairs；

本文由 HackerNews.cc 翻译整理，封面来源于网络；