“旋风行动”已抓捕Clop勒索软件相关人员

一项代号为“旋风行动”的为期30个月的国际执法行动以Clop勒索软件团伙为目标，导致此前报道的6名成员在乌克兰被捕。

2021年6月，报道称，乌克兰执法部门逮捕了参与洗钱的Clop勒索软件团伙的成员。本周六，有关该行动是如何进行的以及所涉及的执法机构的新信息浮出水面。

国际刑警组织的旋风行动

名为“气旋行动”的跨国行动由国际刑警组织位于新加坡的网络融合中心协调，并得到乌克兰和美国执法当局的协助。此次行动的目标是Clop对韩国公司和美国学术机构的多次攻击，攻击者加密设备并勒索组织以支付赎金或泄露其被盗数据。

2020年12月，Clop对韩国企业集团和零售巨头E-Land Retail进行了大规模 勒索软件攻击，导致50家NC百货公司和NewCore Outlet零售店中有23家暂时关闭。他们后来声称使用销售点恶意软件从该公司窃取了2000000张信用卡。

最近，Clop利用Accellion安全文件传输网关中的漏洞窃取了公司和大学的机密和私人文件。当1000万美元以上的赎金要求没有支付时，威胁行为者公开发布了许多大学和学院的学生个人信息。

Accellion勒索要求中使用的Clop赎金票据

Accellion攻击的目标美国教育机构包括科罗拉多大学、迈阿密大学、斯坦福医学院、马里兰大学巴尔的摩分校(UMB)和加利福尼亚大学。（此前我们报道过：6家美国顶尖大学敏感数据在线泄露）

通过执法机构和私人合作伙伴之间的情报共享，“旋风行动”在乌克兰逮捕了6名嫌疑人，搜查了20多间房屋、企业和车辆，没收了计算机和185000美元的现金资产。

此次行动还得到了安全公司伙伴们的协助，包括Trend Micro、CDI、卡巴斯基实验室、Palo Alto Networks、Fortinet和Group-IB。

“尽管全球勒索软件攻击呈螺旋式上升，但这个警察与私营部门的联盟见证了全球执法部门首次逮捕网络犯罪团伙，这向勒索软件犯罪分子发出了一个强有力的信息，即无论他们躲在网络空间的何处，我们都将无情地追捕他们，”国际刑警组织网络犯罪主管克雷格琼斯在一份声明中说。

美国网络安全公司inter471此前说，虽然被捕成员与Clop勒索软件团伙有关联，但他们主要参与了犯罪组织的洗钱活动。这家情报公司进一步表示，Clop行动的核心成员可能还在俄逍遥法外。

乌克兰SSU发布的一段视频显示，调查人员对嫌疑人的财产进行突袭，并没收了证据。

如果罪名成立，6名Clop合作嫌疑人将面临最高八年的监禁。

针对勒索软件行动

随着针对关键基础设施、医疗保健、企业和教育机构的勒索软件攻击不断升级，执法部门今年对犯罪活动施加了巨大压力。

这种执法活动实施了多次逮捕和基础设施拆除，包括：

• Netwalker勒索软件中断，加拿大分支机构实施逮捕。
• 2名Egregor行动成员的被捕导致该组织关闭。
• 12个人被逮捕，据信在71个国家1800个受害者参与勒索攻击。

执法行动还导致勒索软件团伙关闭了他们的业务，因为他们觉得执法部门对他们的活动有所收紧。这包括最近关闭的REvil和BlackMatter操作，以及Avaddon勒索软件在6月关闭。虽然勒索软件团伙可能会关闭他们的业务，但这并不意味着执法部门已经放弃将他们绳之以法。本周，美国国务院宣布奖励1000万美元， 用于识别或定位 DarkSide/BlackMatter勒索软件行动中的关键领导人。