Cl0p黑客团伙利用MOVEit漏洞进行网络勒索

文章要点

最近，以网络勒索闻名的黑客团伙Cl0p的最新阴谋引起了人们的担忧，勒索软件的行为者可能已经发现了一种比传统索要赎金的方式更简单且同样盈利的商业模型。

Cl0p 这一以俄语为主的黑客团伙确认，他们利用了流行的 MOVEit 文件传输程序中的零日漏洞，盗取了越来越多受害者的数据，导致全球数百万人个人信息暴露。

这已经是 Cl0p第三次、也是最大规模的文件传输软件攻击，该软件的设计目的是安全地促进组织敏感数据的传输。更令人担忧的是，这也是他们第一次选择直接要求支付，而不是要求赎金以解密受害者的系统。

“这对他们来说算是一种新型商业模式，” Huntress 的高级研究员约翰·哈蒙德（John Hammond）说。他曾帮助发现了 Cl0p 用以欺骗
MOVEit 数据库的后门零日漏洞。哈蒙德表示，这种最新的勒索方法更易于实施。

“您不需要对硬盘进行加密，”他说。

哈蒙德和其他专家警告说，未来我们应该期待更多针对文件传输软件以及其他数据密集型工具（如文档管理程序）的攻击。

“这确实相当有效，”网络安全公司 Kon Briefing 的创始人贝特·康德拉斯（Bert
Kondruss）说。“我对他们会集中精力在这方面非常有信心。”

通过查阅监管文件、公开声明和其他信息，康德拉斯已编制了一份目前非官方的128位受害者名单。哈蒙德、康德拉斯及其他人预计还有更多受害者。

分析师表示，攻击主要发生在美国的阵亡将士纪念日周末，届时人手较少。

该黑客团伙本月早些时候开始发布受害者的名单，并要求对方支付赎金，受害者包括加州大学洛杉矶分校、西门子能源等几家知名机构。Cl0p继续每天更新声称的新受害者。

“公司根本不关心其客户，忽视了他们的安全！！！” 黑客在其暗网泄露网站上写道。

此外，还有其他、企业及大学系统等已被认定为 Cl0p的受害者。

Cl0p 之前还曾利用两个其他文件传输程序的零日漏洞，分别是 Accellion 和 GoAnywhere，但初步证据表明，MOVEit被攻陷的影响可能远超之前的两次攻击，无论是范围还是涉及的大型知名公司和政府机构数量。

根据网络安全公司 Tenable 的开源情报，Cl0p 在2020和2021年的中攻击了约50个组织，在今年早些时候的 GoAnywhere黑客攻击中则影响了约130个组织。

“文件传输工具和安全产品的漏洞给我们的多个客户带来了严重后果，而对这一趋势正在加剧的担忧也越来越多，”Mandiant 和 Google Cloud的情报副总裁桑德拉·乔伊斯（Sandra Joyce）在7月3日写道。

康德拉斯预计 “数百” 个 MOVEit 受害者将被披露。至少有2500个公开在互联网上的 MOVEit服务器都是潜在目标，快速7（Rapid7）公司的凯特琳·康丹（Caitlyn Condan）表示。

根据 Emsisoft 的勒索软件研究员布雷特·卡