CLOP勒索软件团伙是一个活跃的俄语RaaS组织，以“大型目标狩猎”和“双重勒索”为主要攻击模式。该团伙自2019年出现，源自TA505犯罪集团，专门避开前苏联国家的目标。CLOP通过窃取敏感数据、加密网络，并威胁公开泄露数据来勒索受害者。他们擅长利用零日漏洞（如MOVEit、GoAnywhere、Oracle EBS）和第三方软件漏洞，并借助中间人、自动化工具以及复杂的规避和横向移动技术来扩大攻击范围和收益。该团伙已攻击过Shell、英国航空、Bombardier、普华永道、BBC等知名机构，并实施了GoAnywhere MFT、MOVEit Transfer和Accellion FTA等大规模攻击活动。

🛡️ **CLOP勒索软件团伙的攻击模式与起源**：CLOP，一个活跃的俄语勒索软件即服务（RaaS）团伙，主要采用“大型目标狩猎”和“双重勒索”的攻击策略。该团伙于2019年出现，起源于TA505网络犯罪集团，并展现出规避前苏联国家目标的特点。其运作方式是锁定高价值目标，窃取敏感数据并加密网络，然后通过在数据泄露网站上发布被盗文件来向受害者施压以支付赎金。

💻 **技术手段与攻击媒介**：CLOP团伙擅长利用零日漏洞和存在漏洞的第三方软件（如MOVEit、GoAnywhere、甲骨文EBS系统）作为初始访问的跳板。他们还借助初始访问中介和自动化工具，并采用复杂的规避技术和横向移动技术，以最大化其攻击的影响力和获利能力。

🌐 **重大攻击活动与知名受害者**：CLOP团伙已对众多知名机构发动攻击，包括Shell、英国航空公司、Bombardier、科罗拉多大学、普华永道以及BBC。该团伙发起的重大攻击活动包括2023年的GoAnywhere MFT攻击（影响超130家机构）、2023年的MOVEit Transfer攻击（利用SQL注入零日漏洞，是历史上规模最大的勒索软件攻击之一，影响全球数百家公司）以及2020-2021年的Accellion FTA攻击（利用文件传输设备中的零日漏洞，窃取约100家机构的数据）。

HackerNews 编译，转载请注明出处：

10 月中旬，CLOP 勒索软件团伙首次宣称入侵《华盛顿邮报》，并将其列入 Tor 数据泄露网站。

CLOP（又称 Cl0p）是一个活跃的俄语勒索软件即服务（RaaS）团伙，专注于 “大型目标狩猎” 和 “双重勒索” 攻击。

该团伙于 2019 年 2 月左右首次出现在威胁格局中，脱胎于 TA505 网络犯罪集团 —— 这是一个至少自 2014 年起就活跃的以获利为目的的犯罪团伙。

与其他俄罗斯背景的威胁行为者一样，CLOP 会避开前苏联国家的目标，其恶意软件无法在主要使用俄语的计算机上激活。

团伙操作者及关联人员会锁定高价值目标，窃取敏感数据、加密网络，随后将被盗文件发布到数据泄露网站，向受害者施压以迫使其支付赎金。CLOP 会利用零日漏洞和存在漏洞的第三方软件（如 MOVEit、GoAnywhere、甲骨文 EBS 系统），借助初始访问中介和自动化工具，还会使用复杂的规避技术和横向移动技术，以最大化攻击影响和获利。

CLOP 的受害者包括Shell、英国航空公司、Bombardier、科罗拉多大学、普华永道以及BBC等。

该团伙发起的重大攻击活动包括：

GoAnywhere MFT 攻击（2023 年）：利用漏洞 CVE-2023-0669 入侵了超过 130 家机构。MOVEit Transfer 攻击（2023 年）：通过 SQL 注入零日漏洞 CVE-2023-34362 实施，是历史上规模最大的勒索软件攻击活动之一，影响了全球数百家公司，包括美国和欧洲企业。Accellion FTA 攻击（2020-2021 年）：利用文件传输设备中的零日漏洞，从约 100 家机构窃取数据。

 

 

---

消息来源：securityaffairs；

本文由 HackerNews.cc 翻译整理，封面来源于网络；

转载请注明“转自 HackerNews.cc”并附上原文