在6名CLOP勒索軟體的嫌犯被捕一周後,CLOP在其揭秘網站上又公佈新的受害公司,這意味著什麼呢?!

在上週 6 月 16 日,6名CLOP勒索軟體的幕後駭客被烏克蘭警方拘捕,當時警方表示,他們在烏克蘭首都基輔及其周邊地區對涉嫌駭客的家中和他們的汽車進行了 21 次搜查並扣獲了電腦、手機和伺服器設備、185,000 美元的現金(相信是贖金)及幾輛汽車等。

但今在CLOP揭秘網站CLOP^_-LEAKS上發現新的受害者,表示CLOP仍然活躍,也證明最近被逮捕的駭客不包括核心成員。目前尚不清楚這家新公司是何時遭到CLOP的攻擊,這是否在6名CLOP成員逮捕前已被入侵但直到現在才發布的數據,還是完全是一次新的攻擊。無論是哪種,它都表明CLOP仍然以某種方式活躍。專門跟踪勒索軟體的 Emsisoft 安全研究員Brett Callow表示:“數據已經發布的事實表明,烏克蘭警方的行動沒有涉及CLOP的核心成員,也沒有完全擾亂CLOP的操作。”

CLOP^_-LEAKS上的更新,出現新的受害者

CLOP在上週被捕後,今發布新的受害者和盜竊數據,正如網路安全情報公司Intel 471上週表示,被捕的嫌疑人僅限於CLOP業務的套現和洗錢方面,逮捕並沒有打擊經營犯罪集團的核心。

換句話說,CLOP又重新浮出水面意味著企業與CLOP的鬥爭遠未結束。

CLOP勒索軟體的相關情資:

https://otx.alienvault.com/pulse/5d442cfb09ea006776a81c42

烏克蘭與韓國警方的聯合行動,逮捕了6名CLOP勒索軟體的幕後駭客

6 月 16 日在烏克蘭和韓國的執法機構聯合行動後,6名與 CLOP勒索軟體有關的嫌疑人已在烏克蘭被拘留。

烏克蘭國家警察和該國網路警察部門證實,在對首都基輔(Kyiv)附近地區的 21 處住宅進行搜查後,並逮捕了 6 名 CLOP勒索軟體組織的嫌疑人,目前還不清楚被告是否為CLOP勒索軟體組織的核心成員,他們被指控對美國和韓國企業的伺服器進行了勒索軟體攻擊。據稱Clop勒索軟體造成了約 5 億美元的總經濟損失。在行動之後,當局報告說他們成功關閉了CLOP用來發動過去攻擊的伺服器。當局補充道:“執法部門設法攜手關閉了用於散播勒索病毒的基礎設施,並封鎖了使其非法獲得的加密貨幣合法化的渠道”。

警方還從CLOP的幕後駭客中沒收了電腦,手機,伺服器,幾輛汽車(包括特斯拉,Lexus和賓士) 以及約 185,000 美元的現金。

據悉,CLOP 發動的攻擊可追溯到2019 年2 月,當時該組織攻擊了四家韓國企業、並加密了810 台內部伺服器和個人電腦。自那以後,CLOP涉及多起臭名昭著的勒索軟體攻擊,其中包括2020 年4 月針對美國製藥巨頭ExecuPharm 的入侵、以及11 月針對韓國電商巨頭E -Land 的攻擊(迫使該零售商關閉了將近一半的門店),韓國警方去年加大了對Clop的調查力度,在本週突襲CLOP駭客時韓國警察也親自到場。在過去的六個月裡,CLOP 一直特別忙於利用檔案傳輸設備(FTA) 中的四個不同的零時差漏洞,用來攻擊使用Accellion FTA的企業,其中包括加拿大飛機製造商龐巴迪BombardierJones Day律師事務所、資安公司Qualys和新加坡電信巨頭Singtel馬里蘭大學斯坦福大學等。

目前尚不清楚烏克蘭當局的這項執法行動將在多大程度上影響 CLOP的運作。

網路安全情報公司Intel 471表示,烏克蘭的執法突襲僅限於 CLOP 業務的套現和洗錢方面。“我們認為 CLOP 背後的任何核心參與者都沒有被逮捕,因為他們很可能住在俄羅斯。”

烏克蘭與韓國執法部門突襲Clop的影片

CLOP勒索軟體的相關情資:

https://otx.alienvault.com/pulse/5d442cfb09ea006776a81c42

雲端資安公司Qualys成為Accellion FTA事件的最新受害者,同時成為CLOP的敲詐對象,資料外洩被公開到CL0P ^ _- LEAKS網站上

提供雲端安全與合規的Qualys遭受了數據外洩露,據稱駭客利用了Accellion FTA伺服器中的零時差漏洞並安裝一個名為“DEWMODE”的web shell,用於下載存儲在目標受害者FTA伺服器上的相關檔案。由十二月開始,一連串的攻擊針對Accellion FTA檔案傳輸應用程式的零時差漏洞,該漏洞使攻擊者能夠竊取伺服器上存儲的檔案。從那時起,CLOP勒索軟體就一直通過在其揭秘網站上發布盜來的數據來勒索這些受害者,如下圖已知的受害者包括交通運輸的新南威爾士州, 新加坡電信,龐巴迪,Jones Day律師事務所,科技企業Danaher等

Qualys擁有大約19,000個客戶,其中包括Capital One和Experian等大型金融公司,對於熱衷於公開敏感數據的勒索者而言,Qualys是一個有吸引力的目標。

Qualys的資訊安全長 Ben Carr在周三晚上的一份聲明中說,承認該公司在DMZ環境中已使用了Accellion檔案傳輸技術來進行與客戶支援相關的檔案傳輸,攻擊者已存取了Accellion伺服器上託管的檔案。Carr說,Qualys通知了受此未經授權存取影響的客戶,但拒絕透露有多少客戶受到影響,並正在等待進行的調查結束,Carr補充說該事件並未影響Qualys Cloud Platform上託管的Qualys生產環境,codebase或客戶數據。

CLOP勒索軟體背後駭客聲稱已從Qualys竊取了數據,而根據外媒得到的截圖,洩露的數據包括了公司發票、採購訂單、稅務文件和掃描報告等

另外為了應對攻擊,Accellion FTA 伺服器供應商已經發布了多個安全修補,並且將在2021年4月30日淘汰該FTA伺服器軟體。

駭客利用Accellion FTA進行數據盜竊和勒索的有關情資:

https://otx.alienvault.com/pulse/6033df085aef66991b0b0462

有關Accelion FTA事件受影響的其他公司, 我們之前也有相關的報導: 

http://billows.tech/MeTv1

又一Accellion用戶受其遇駭風波影響,加拿大飛機製造商龐巴迪(Bombardier)今揭露資料外洩!!軍用飛機產品的CAD圖被CL0P勒索軟體駭客對外公開!!!

Key Points:

*龐巴迪有關的數據已經被公開在CL0P ^ _- LEAKS的網站上

*鑑識分析顯示,與員工,客戶和供應商有關的個人和其他機密資料受到入侵

*CL0P ^ _- LEAKS網站於2020年3月啟動,發布不付贖金的受害者數據以作威脅和勒索

*最近成為Clop勒索軟體受害者的公司包括超級市場巨頭Kroger,Singtel,美國運輸局,律師事務所Jones Day等,Jones Day是前美國總統Donald Trump的法律顧問

*金融網路犯罪組織FIN11被認為是最近一系列Clop勒索軟體活動的幕後黑手

*外洩的一些檔案似乎顯示了GlobalEye雷達和任務系統的規格

龐巴迪是使用Accellion第三方檔案傳輸服務的公司之一, 飛機製造商龐巴迪在今天發布的新聞稿,揭露資料外洩,值得一提的是,瑞典薩博(SAAB)公司(SAAB) 的第一款「全球眼」預警機(GlobalEye),是用龐巴迪全球6000(Bombardier Global 6000)公務機改裝的。據了解CL0P勒索軟體揭秘網站上,駭客發布了瑞典國防公司薩博開發的 GlobalEye 預警機和控制平臺的規格和機制。同時也發布包括龐巴迪客戶,供應商和員工有關的機密資料。

龐巴迪說:“初步調查顯示,未經授權的一方通過利用第三方文件傳輸應用程式的漏洞來訪問和提取數據,該漏洞運行在與主要龐巴迪IT網路隔離的特定伺服器上。” 龐巴迪在新聞稿中沒有評論CL0P勒索軟體發布有關他們的數據。龐巴迪僅表示,位於哥斯達黎加的大約130名員工受到了影響,龐巴迪一直在積極聯繫其數據可能受到損害的客戶和其他外部利益相關者。正在進行的調查表明,未經授權的訪問僅限於存儲在特定服務器上的數據。生產和客戶支援操作沒有受到影響或中斷。

2020年12月,一個駭客組織在Accellion FTA軟體件中發現了一個零時差漏洞攻陷其檔案傳輸設備軟體,並開始攻擊全球的公司。攻擊者接管了系統,安裝了Web Shell,然後偷走了敏感數據。

Accellion在昨天的新聞稿中表示,其300個客戶在運行的FTA伺服器,其中100個受到攻擊,並且大約25個客戶的數據被盜。

根據安全公司FireEye的說法,攻擊者試圖勒索被駭客攻擊的公司,要求支付贖金,否則他們將盜來的數據公開 。

從本月初開始,一些Accellion FTA客戶的數據開始出現在暗網CLOP勒索軟體揭秘網站上,引發了人們對Accellion產品的擔憂。

駭客利用Accellion FTA進行數據盜竊和勒索的有關情資:

https://otx.alienvault.com/pulse/6033df085aef66991b0b0462

有關Accelion FTA事件受影響的其他公司, 我們之前也有相關的報導: 

http://billows.tech/MeTv1