2023 年，勒索軟件的“贖金成果”又取得成倍增長。從市場調查機構 Chainalysis 最新報告來看，勒索軟件僅從受害者處獲得的加密貨幣價值就超過了十億美金。同時，該機構還指出平均勒索贖金水平同樣呈持續上升的趨勢。

勒索軟件背后的高額“利潤”刺激了更多網絡威脅分子投身其中，衍生出了類似 RaaS（勒索軟件及服務）等高效率的勒索模式，逐步構建起了完善的勒索生態鏈，為勒索軟件攻擊事件“繁殖”提供了良好土壤。根據微步在線發布的《2023 年威脅情報及 APT 活動分析報告》顯示，據不完全統計全球勒索軟件數量已達 1940 個，其中 2023 年新增了 43 個勒索團伙。

新興的勒索軟件擁有極其豐富的進攻武器，利用先進的技術手段和精密策略，針對個人、大型企業組織，甚至一些關鍵基礎設施發動網絡攻擊，給其造成了嚴重的數據信息泄露和經濟損失，逐漸在互聯網行業“嶄露頭角”。

此外，新型勒索軟件不斷演化和壯大逐步擠壓了 LockBit、Rvil 和 Conti 等老牌勒索軟件的勢力范圍。因此，為重新樹立行業地位，老牌勒索軟件開始大規模開展網絡攻擊活動，瘋狂刷“存在感”，其中當屬 Clop 勒索軟件最為活躍，其攻擊目標涵蓋了醫療、政府、金融、能源、交通等全球數百家知名實體組織。

2023 年發生的數千起勒索軟件攻擊案例中，至少有 20% 由 Clop 勒索軟件團伙或其旗下附屬組織發起，這一占比遠遠超過近年來備受行業關注的 LockBit 勒索軟件團伙，更是把其它勒索軟件團伙遙遙甩在身后。

Clop 勒索軟件發展歷程以及運營策略

2019 年 2 月，一個宣稱專門針對全球范圍內大型企業和國有機構的 CryptoMix 勒索軟件變種——Clop 勒索軟件“橫空出世”，使用 Clop 相關后綴加密文件來勒索目標。2020 年 3 月，Clop 勒索軟件團伙首次在暗網上啟用了一個泄露站點，專門用于發布受害者信息，以便實施雙重勒索攻擊。

短短數月后，Clop 勒索軟件組織就成功入侵全球最大的軟件公司之一 Software AG，要求其支付超過 2000 萬美金。最后由于沒有收到贖金，該團伙在暗網公布了 Software AG 公司數據截圖。此后，Clop 勒索軟件先后又發起幾次勒索行動，在行業內”聲名鵲起“。

通過對 Clop 勒索軟件受害者系統和贖金談判案例詳細分析，安全研究人員判定其背后運營者采用了雙重勒索的模式運營該勒索軟件。

從攻擊手段來看，Clop 勒索軟件團伙前期主要通過有效訪問憑證和漏洞武器化等方式，突破攻擊目標的網絡防御系統。公開資料顯示， Clop 勒索軟件團伙曾利用了 Accellio 公司文件傳輸設備（FTA），SolarWinds 公司Serv-U托管文件傳輸（MFT），Fortra 公司 GoAnywhere MFT 和 Progress 公司 MOVEit MFT 等產品的相關漏洞，實現對潛在攻擊目標系統的初始訪問。

一旦擊穿攻擊目標的網絡防御系統后，Clop 勒索軟件會立刻在受害者系統中部署橫向滲透和遠程控制等”輔助性“工具，以便對受害者內部網絡系統進行橫向滲透，感染其它內部系統，以達到最大化程度破壞系統。

完成一系列內部文件加密后，Clop 勒索軟件團伙就開始套路受害者，索要巨額贖金了。

首先是威脅，Clop 勒索軟件在進入受害者系統后會立刻加密所有能獲得權限的文件資料，并且使用經過驗證和數字簽名的可執行文件來，使其看起來像一個合法的文件，以逃避安全工具檢測。如果受害者想要換文件解密密鑰，就必須支付贖金。接到贖金勒索通知后，一些網絡安全能力不強的受害者企業往往就繳械投降，乖乖支付贖金了。

隨著企業加強對網絡安全的重視程度，企業對于自身安全的資源投入逐步增長，安全防御技術飛速發展，一些重要數據都設置了容災備份，并且部署了很多的安全防御設備。此時，勒索軟件再通過加密重要文件，勒索受害者已然很難收到贖金。

網絡安全研究人員很快就發現 Clop 勒索軟件升級了勒索策略，不僅會加密受害者的部分重要文件，還試圖關閉一些與容災備份和安全工具相關的進程和服務，以阻止受害者恢復數據或檢測網絡攻擊，并且盜取大量重要數據資料。

后續贖金談判過程中，如果受害者拒絕支付贖金，面臨的可能不僅僅是內部網絡系統癱瘓，更甚者大量機密信息被 Clop 勒索軟件團伙上傳到其數據泄露站點上，“待價而沽”，供其它勒索軟件團伙購買使用。據 SentinelLabs 相關研究結果顯示，Clop 勒索軟件的數據泄露網站在 2023 年發布了約 353 名受害者的被盜資料。

Clop 勒索軟件團伙襲擊了數千家實體組織

雙重勒索策略既增加了受害者支付贖金的壓力，同時又能夠吸引更多勒索軟件團伙購買竊取的數據，賺取”額外“資金，一舉兩得。憑借自身技術和運營策略方面的優勢，Clop 勒索軟件很快就搶走了 LockBit、Conti 等勒索軟件組織的”風頭“。

2020 年 10 月，Clop 勒索軟件團伙針對德國軟件巨頭 Softawre AG 發起了網絡攻擊，正式打響了在互聯網領域的“第一槍”。在成功進入 Softawre AG 內網后，Clop 勒索軟件立刻加密了部分文件，盜取大量數據資料，并要求其支付 2000 萬美元贖金換取解密密鑰。贖金談判失敗后，Clop 勒索軟件團伙在其泄密網站上公布了 Softawre AG 公司內網數據的部分截圖，其中包括員工護照、電子郵件、財務文件和目錄等。

2020 年 12 月，Clop 勒索軟件團伙又攻破了一家涉足零售商場、餐廳、主題公園、酒店和建筑業務的韓國集團 E-Land Retail 的網絡防御系統，并且從該公司竊取了 200 萬張信用卡數據，最終迫使該公司關閉了 23 家NC百貨商店和新的核心門店。

2021 年 12 月，英國媒體披露 Clop 勒索軟件團伙竊取了英國警方的機密數據，并在暗網上泄露。（值得一提的是，Clop 勒索軟件團伙一開始的攻擊目標是 IT 公司 Dacoll，網絡犯罪分子利用網絡釣魚破壞了該公司系統后，意外獲得了包括 PNC（英國警察計算機網絡）數據信息在內的 1300萬人的個人信息和記錄）最后，由于 Dacoll 公司拒絕付款，網絡犯罪團伙 Clop 在其暗網上公布了部分被盜資料。

Clop 盜竊的文件還包括從國家自動車牌識別（ANPR）系統中流出的駕駛者圖像

Clop 勒索軟件團伙在 2021 年利用 Accellion 的文件共享系統 FTA 中存在的未知漏洞，入侵包含了殼牌石油公司、信息安全業者 Qualys、加拿大噴氣式飛機制造商 Bombardier、新加坡電信、美國華盛頓州審計官辦公室，以及新西蘭儲備銀行等大型組織在內的多個實體機構，獲取了高額贖金。

此外，Clop 勒索軟件團伙在 Fortra  GoAnywhere MFT（托管文件傳輸）工具中發現一個零日漏洞，并利用其發起了廣泛性勒索攻擊，最終波及到了包括寶潔公司、多倫多市政府和美國最大的醫療保健提供商 Community Health Systems 等在內的 100 多家企業組、政府組織。

不久后， Clop 勒索軟件團伙又利用 MOVEit Transfer 文件傳輸漏洞進行了大規模網絡攻擊，包括美國能源部 (DOE)、北卡羅來納州主要醫院在內的多家全球知名的實體組織成為了受害者，目前受害者數量一直在持續增長。

Clop 勒索軟件團伙的”秘密武器“

Clop 勒索軟件團伙能夠摘取如此大的”勝利果實“不僅僅依仗先進的勒索策略，其豐富的進攻手段同樣起到至關重要的作用。Clop 勒索軟件團伙屬于流行的 Cryptomix 勒索軟件家族，作為一種危險的文件加密病毒，會主動避開未受保護的安全系統，并通過植入 .Clop 擴展名來加密保存的文件。早期，Clop 勒索軟件團伙主要利用 AES 密碼加密圖片、視頻、音樂、數據庫文件，并附加 .CLOP 或 .CIOP 文件擴展名，從而阻止受害者訪問個人數據（例如，"sample.jpg "被重命名為 "sample.jpg.Clop"），威脅范圍涵蓋了 Windows XP、Windows7、Windows8、Windows8.1和Windows10 等大多數操作系統版本。

此外，能夠取得如此“輝煌” 的戰績與 Clop 勒索軟件團伙善用使用網絡釣魚策略有很大關系，這些電子郵件包含 HTML 附件，一旦受害者打開郵件中的某個帶有惡意鏈接的字段，這些附件就會立刻悄無聲息的將受害者重定向到用于安裝名為 Get2 的加載程序的啟用宏的文檔。

該加載程序有助于下載其他工具，例如 SDBOT、FlawedAmmyy 和 Cobalt Strike ，一旦進入系統，Clop 勒索軟件團伙就會進行資源偵察、橫向移動和滲透，為后續部署勒索軟件做好準備。之后，Clop 勒索軟件團伙會通過發送電子郵件脅迫受害者進行贖金談判。如果受害者對勒索信息選擇視而不見，Clop 勒索軟件團伙成員就會威脅在其數據泄露網站“Cl0p^_-Leaks”上公布被盜數據。

Clop 勒索軟件運營商還非常善用設備中存在的安全漏洞進行網絡攻擊活動，其中最早可追溯到包含以下漏洞的 Accellion文件傳輸設備組合漏洞：

• CVE-2021-27101，通過精心制作的頭部字段進行SQL注入;
• CVE-2021-27102，本地web服務調用導致的操作系統命令注入;
• CVE-2021-27103，精心制作的POST請求來進行服務端請求偽造;
• CVE-2021-27104，精心制作的POST請求進行操作系統命令注入。

Clop 勒索軟件利用上述漏洞組合在受害目標服務器上植入一個名為 DEWMODE 的 webshell，惡意腳本在成功被啟用后，便立刻開始查詢受害者數據庫中存儲文件的相關信息，甚至還帶有清理網絡攻擊活動痕跡的功能。

值得注意的是，上述提到的“Fortra  GoAnywhere MFT“漏洞組也被該團伙大規模利用過，近期影響美國多個政府機構、實體組織的 MOVEit 管理文件傳輸平臺漏洞利用攻擊事件背后的”真兇“也是 Clop 勒索軟件團伙。

Clop 勒索軟件團伙不斷被打擊，又不斷重生

Clop 勒索軟件聲名鵲起之后，很快被各國的執法人員盯上了。2021年，烏克蘭、韓國及美國執法部門合作開展一項國際執法行動，烏克蘭警方出手逮捕了至少 6 名與 Clop 勒索軟件團伙有關的網絡犯罪分子，關閉了其攻擊活動中使用的基礎設施，還對位于基輔的21 套房屋展開了詳細搜查。

聯合執法人員在本次活動中查獲了網絡犯罪分子使用的計算機、智能手機與服務器設備，以及500 萬烏克蘭格里夫納（折合 18 萬美元以上）現金、多輛特斯拉、奔馳與雷克薩斯等品牌的汽車。

盡管聯合執法行動使得 Clop 勒索軟件部分基礎設施被查封、成員被逮捕，卻沒有阻止 Clop 勒索軟件組織持續作案的腳步， 2021 年 10 月，研究人員在分析某次網絡攻擊事件是觀察到，Clop 勒索軟件又再次進行了迭代升級，引入以下新功能。

• Clop v2 的一個突出特點是它實現了雙重勒索。除了加密文件之外，除非支付贖金，否則此版本還脅要暴露受害者數據。這種雙重威脅加劇了影響，不僅擾亂了業務運營，還危及敏感信息;
• Clop v2 添加到其工具包中，將其范圍擴展到基于云的環境，利用 Microsoft Azure 和 Amazon Web Services 等平臺中的漏洞，對組織構成威脅，無論數據存儲位置如何——無論是在本地還是在云中;
• Clop v2 引入了一些額外的特性和功能，包括：
• 加密功能擴展到網絡連接存儲 (NAS) 設備。
• 加密功能擴展至涵蓋 Linux 和 macOS 設備上的文件。
• 能夠禁用防病毒和安全軟件。
• 通過暴力攻擊和網絡釣魚電子郵件促進的網絡傳播。

Clop 勒索軟件還推出了幾種已知的變體，它們以同樣的方式從根本上破壞受害者系統，隨著每一種新變體的出現，技術交付方法變得更加復雜。一個新變體的標志之一是文件擴展名，據記錄，這些擴展名顯示為“CIIp”、“.Clp”、“C_L_O_P”、“ClopReadMe.txt”、“README_README.txt”、“Cl0pReadMe.txt”和“READ_ME_！！.txt”。

Clop 勒索軟件頑強的生存能力引發了全球很多國家的擔憂，紛紛懷疑其背后具有”國家力量“，多次聯合起來打擊該團伙的網絡犯罪活動，但大都收效甚微。為獲得更多有關 Clop 勒索軟件團伙的情報，美國國務院直接懸賞了 1000 萬美元。

（圖片來源：空間閑話 plus）

RaaS 模式和雙重勒索已成常態

從 Clop 、LockBit 等勒索軟件的發展歷程來看，作為一種持續威脅，勒索軟件不僅具有頑強的生命力和”再生“能力，也呈現出了一些新的趨勢和特點。RaaS（Ransomware as a Service）模式和雙重勒索已經成為勒索攻擊的常態化現象，使得黑客無需具備深厚的技術功底，只需購買勒索軟件即可發起攻擊，從而降低了勒索攻擊的門檻，提高了攻擊效率。

一個重要的新趨勢是“自動化勒索”，安全專家多次強調在 AI 大模型飛速發展的背景下，很多勒索團伙都會更加積極探索這一方向。通過自動化工具和流程，威脅攻擊者能夠極大地節省攻擊時間和成本，提高攻擊效率和成功率，增加了對受害者的威脅感，使得應對勒索軟件攻擊變得更加復雜和困難，這種自動化的攻擊方式讓勒索軟件的威脅更加隱蔽和具有持續性，給網絡安全帶來了更大的挑戰。

更糟糕的是，一旦受害企業支付了贖金，可能會成為其他勒索軟件團伙的目標，面臨多次勒索要求的威脅。隨著勒索軟件不斷演進，攻擊模式和勒索策略勢必會呈現出新的特點，對網絡安全形勢提出了更大的考驗。因此，企業和組織需要采取更加全面、有效的網絡安全措施，以應對不斷變化的勒索軟件攻擊威脅。