近日，乌克兰警方与国际刑警组织、韩国和美国执法部门联合，成功捣毁了Clop勒索软件团伙的基础设施，并逮捕了6名该团伙的嫌疑人。这是继美澳警方主导的 “特洛伊盾牌”行动之后，一次针对网络犯罪的国际联合行动。

乌克兰警方6月16日表示，在由国际刑警组织协调的一项国际行动中，逮捕了6名Clop勒索软件团伙的嫌疑人，韩国和美国的执法部门也参与了此次抓捕行动。联合执法部门关闭了Clop勒索软件团伙用于传播计算机病毒的基础设施，并对基辅及周边地区的21处房屋展开搜查，最终查获了犯罪分子使用的计算机、智能手机与服务器设备，500万乌克兰格里夫纳（折合18.5万美元）现金以及包括特斯拉、奔驰与雷克萨斯等品牌在内的多辆汽车。

此次抓捕行动始于2019年的调查，当时Clop勒索软件团伙侵入了4家韩国公司并加密了他们的文件，索要巨额赎金，韩国警方开始介入调查。后来， 2020 年 11 月该团伙又侵入了韩国电子商务巨头E-Land的网络，迫使这家韩国公司关闭了23家门店，韩国警方因此加大了对该团伙的调查力度。这也正是韩国警方直接参与此次抓捕行动的原因。

乌克兰警方在事后的声明中称：“目前已确定6名被告涉嫌针对美、韩企业服务器发起勒索软件等恶意软件攻击，攻击造成了约 5 亿美元的经济损失”。如果对他们以黑客攻击和洗钱指控定罪，嫌疑人将面临最高8年的监禁。

Clop勒索软件于2019年2月出现在公众视野中，Clop勒索软件团伙的主要目标是加密企业的文件，而不是终端用户。目前Clop仍处于快速发展阶段。2020年3月，Clop勒索软件团伙首次在暗网中启用了一个泄露网站，用于发布受害者信息以便实施双重勒索攻击。网站启用一年多来，Clop勒索软件团伙一直比较活跃，泄露网站当中的受害者数量不断增加。

Clop勒索软件团伙惯用钓鱼邮件的攻击手法，黑客将带有恶意文件的电子邮件发送至企业员工邮箱，对方打开受感染文件后，该程序会依次从分发服务器处下载其他程序，并通过远程管理程序Flawed Ammyy RAT全面感染受害者的计算机。在侵入受害者网络后，黑客还通过远程访问激活恶意软件Cobalt Strike，借此获取关于受感染服务器的更多漏洞信息以供进一步入侵。

自2020年底开始，Clop勒索软件团伙采用了一种新的漏洞组合攻击方式：利用Accellion文件传输设备（FTA）的漏洞（CVE-2021-27101等）展开攻击。攻击者成功入侵目标网络后，植入名为DEWMODE的webshell，窃取受害目标数据，泄露数据量超过几十甚至上百GB。

与其他勒索软件一样，Clop一般采取双重勒索模式。Clop在目标网络中拿到控制权限后，在文件进行加密的同时会伺机窃取目标的大量重要数据，在后期勒索受害者时，如果他们拒绝支付赎金，那么该组织的数据泄露网站就会分批公布受害者重要数据，来给受害者施压。在巨大的压力之下，大部分受害者只能选择破财免灾，以加密货币的形式缴纳赎金。

与其他勒索病毒不同的是，Clop勒索软件部分情况下携带了有效的数字签名。数字签名滥用和冒用通常发生在木马程序中，勒索软件携带有效签名的情况极为少见，这意味着该软件在部分拦截场景下更容易获取到安全软件的信任，进而感染成功，造成无法逆转的损失。Clop勒索软件通过附加“.Clop ”扩展名来加密受害计算机上的数据并重命名每个文件。例如，“sample.jpg”被重命名为“sample.jpg.Clop”。成功加密后，Clop勒索软件会生成一个名为 “ClopReadMe.txt”的文本文件并在每个文件夹中放置一个副本，文本文件包含赎金等通知消息。

Clop勒索软件首次出现于2019年2月，此后Clop勒索软件团伙变得愈加活跃起来，受害目标涵盖了教育、科研、医疗、能源、商业和法律服务等各个行业。

2020年10月3日，Clop勒索软件团伙宣称侵入了德国第二大技术公司Software AG的内部网络，窃取了超过1TB的加密数据，并据此索要超过2000万美元赎金才提供解密密钥。在谈判失败后，Clop 在暗网上公布了该公司内网数据的部分截图，包括员工护照、电子邮件、财务文件和公司内部网络目录等。由于此次勒索金额超过2000万美元，创造了当时的最高赎金记录，因此被广泛关注。

Software AG 是德国的第二大公司，企业客户超过1万名，遍布70个国家。它的客户包括富士通、Telefonica、沃达丰、DHL 和 Airbus。其产品线包括商业基础设施软件如数据库系统、企业服务总线 （ESB）框架、软件基础架构（SOA）和业务流程管理系统 （BPMS）。

2020年12月，Clop勒索软件团伙声称在过去的12个月里窃取了韩国E-Land Retail公司服务器上存储的200万用户信用卡数据，造成了严重的数据泄露。一个月前，Clop勒索软件团伙就已经宣称侵入了韩国E-Land Retail公司网络，并迫使该公司关闭了23家NC百货商店和新的核心门店。

E-Land Retail是一家韩国企业集团，总部设在韩国首尔的长田洞麻浦区。E-Land集团涉足零售商场、餐厅、主题公园、酒店和建筑业务，以及其基础业务——服装业务。

2020年4月17日，美国生物制药公司ExecuPharm向消费者发布数据泄露通知，称其3月13日遭受了勒索软件Clop的攻击，导致一些公司及员工的信息泄露，包含社会安全号码、财务信息、驾照号码、护照号码、及身份证号码等其他敏感数据。据ExecuPharm的网站显示，受影响的大约有5000人。

ExecuPharm是美国生物制药公司Parexel在宾夕法尼亚州的子公司，为生物制药公司提供临床试验管理工具。

2021年3月2日，Clop勒索软件团伙发布了属于网络安全公司Qualys的内部文件屏幕截图，泄露的数据内容包括采购订单，发票，税务文件和扫描报告，以此来证实他们成功攻击了Qualys公司。

3月3日网络安全公司Qualys发布的一份声明中称，Qualys已确认其Accellion FTA服务器在2020年12月遭到破坏，并影响了数量有限的客户。由于服务器部署在与其内部网络隔离的DMZ中，因此Qualys的产品环境并没有受到损害。

Qualys是一家世界领先的提供漏洞管理与合规性解决方案SaaS服务的提供商，成立于1999年，是目前全球唯一一家透过单一的软件服务平台来推出这些解决方案的安全公司。Qualys的客户分布广泛，客户资源雄厚。在福布斯财富100强中，有51%的公司是Qualys的用户；而财富500强的企业中，超过34%的客户都是Qualys的忠实拥趸。

2021年4月2日，美国斯坦福大学发布公告称，黑客通过该校使用的Accellion第三方传输文件漏洞窃取个人信息，导致数据泄露，数据包括个人的社会安全号码、居住地址、电子邮件、家庭成员和财务信息。在此之前，加州大学、马里兰大学等多所高校纷纷发布公告表示遭到了黑客攻击，大量工作人员和学生的私人信息遭到泄露，很多学生收到了来自黑客的敲诈电子邮件。

值得注意的是，在此之前Clop勒索软件团伙声称可以访问属于美国6所顶尖大学的学生和教职员工的财务文件和护照信息，并于3月29日开始在网上发布涉嫌被盗的数据。这些大学包括：斯坦福大学、叶史瓦大学、迈阿密大学、马里兰大学、加州大学默塞德分校、科罗拉多大学博尔德分校。因此可以推断，此次黑客攻击的始作俑者就是Clop勒索软件团伙。

2020年6月，Clop勒索软件团伙声称已侵入印度Indiabulls集团的网络，并在数据泄露网站上发布了6张被盗数据的屏幕截图，声称如果不按要求支付赎金，将会泄露更多数据。

Indiabulls 集团是一家印度企业集团，总部位于古尔冈，办公室位于孟买。该集团2019年的收入达35亿美元，拥有19,000多名员工，其子公司涵盖住房金融、个人理财、贷款、基础设施和药品等各个领域。

2019年12月23日，Clop勒索软件团伙攻击了荷兰马斯特里赫特大学的服务器，造成大量内部数据外泄。最终，马斯特里赫特大学向Clop勒索软件团伙支付了30个比特币（当时约合240,000美元）的赎金用于解密数据。

2021年上半年，Clop已成为全球最活跃的勒索软件团伙之一。据2021年第1季度勒索软件攻击调查报告显示，Clop成为前5大勒索软件黑客组织（按照勒索获得的赎金排序），仅次于广为人知的REvil（Sodinokibi）、Conti、Lockbit，位列第4。

目前，Clop 的 Tor 支付和数据泄露网站仍在运行，由此看来 Clop 勒索软件的操作尚未完全关闭。不知道此次6名组织成员的落网，是会给Clop勒索软件团伙造成影响迫使他们的活动有所收敛，还是会导致他们更加疯狂实施报复性攻击。结果究竟如何，让我们拭目以待。