当地时间6月15日（周四）壳牌公司证实，Clop勒索软件团伙将这家英国石油和天然气跨国公司列在其勒索网站。据信该团伙利用MOVEit文件传输工具漏洞攻入了公司网络，该公司受到了影响。这是壳牌公司第二次受到针对文件传输服务的Clop勒索团伙的攻击。壳牌公司在全球拥有80,000多名员工，去年报告的收入超过3810亿美元。壳牌发言人告诉Recorded Future News：“我们知道网络安全事件影响了Progress的第三方工具MOVEit Transfer，少数壳牌员工和客户使用该工具。”他们强调“没有证据表明壳牌的核心IT系统受到影响”，并表示他们的IT团队继续调查此事件。“我们没有与黑客沟通，”发言人补充说。

另据CNN当地时间15日报道称，美国多个联邦机构也被黑客利用MOVEi零日漏洞攻破。据联邦新闻网报道，美国能源部 (DOE) 的两个实体也遭到入侵 。

受害者名单还在增加

Clop对MOVEit的黑客攻击在英国造成了许多受害者，包括BBC、英国航空公司和爱尔兰航空公司、药品零售商Boots，甚至是该国的通信监管机构Ofcom。

作为MOVEit工具的直接用户，壳牌和Ofcom在有限的设置中似乎受到的影响较小。Ofcom表示，在这次攻击中下载了“有限数量的信息”，尽管其中一些信息是机密的，并且与其监管的公司有关，还有412名Ofcom员工的个人数据。

然而，BBC、英国航空公司、Aer Lingus和Boots可能更容易受到MOVEit漏洞的影响，因为文件传输工具正被一家名为Zellis的第三方薪资服务供应商使用。

在首都运营公共交通的伦敦交通局也确认受到了该事件的影响。一位发言人告诉 Recorded Future News：“与英国的其他公司一样，我们的一家承包商最近遭遇了数据泄露。该问题已得到解决，IT系统已得到保护。有问题的数据不包括银行详细信息，我们正在写信给所有相关人员，让他们了解这一事件。”

据《每日电讯报》报道，伦敦交通局数据库中多达13,000名司机已收到警告，他们的个人数据在该事件中被盗，这影响了运营该市交通拥堵和停车收费计划的承包商。

BBC新闻报道称，专业服务公司EY也受到了影响。目前尚不清楚EY是否是Zelli的客户，或者他们是否直接使用MOVEit Transfer。两个已确认的Zellis用户——BBC和英国航空公司——已警告他们的所有员工，他们的数据可能已被盗。

使用MOVEi 跨部门共享文件的新斯科舍省政府也证实受到了影响，并在一份声明中表示，部分公民的个人信息可能已被泄露。然而，在其泄密网站上的一条消息中，Clop说，“如果你是政府、城市或警察部门……我们删除了你的所有数据。”

虽然袭击的全部范围仍然未知，但新的受害者不断挺身而出。

Clop周三（6月14日）列出了第一批据称利用MOVEit漏洞入侵的组织。受害者名单发布在Clop的暗网泄密网站上，其中包括总部位于美国的金融服务机构1st Source 和First National Bankers Bank；总部位于波士顿的投资管理公司Putnam Investments；位于荷兰的Landal Greenparks；和总部位于英国的能源巨头壳牌。据BleepingComputer报道，五家上市公司——英国跨国石油和天然气公司壳牌、佐治亚大学 (UGA) 和佐治亚大学系统 (USG)、UnitedHealthcare Student Resources (UHSR)、Heidelberger Druck 和 Landal Greenparks——已向BleepingComputer证实他们在袭击中受到影响。

有一个例外是GreenShield Canada公司，这家提供健康和牙科福利的非营利性福利承运商，曾被列在泄漏网站上，但已被删除。

其他受害者还包括金融软件提供商 Datasite；教育性非营利性国家学生信息交换所；学生健康保险提供商 United Healthcare Student Resources；美国制造商 Leggett & Platt；瑞士保险公司ÖKK等。

约翰霍普金斯大学本周证实了一起据信与MOVEit大规模黑客攻击有关的网络安全事件。该大学在一份声明中表示，数据泄露“可能影响了敏感的个人和财务信息”，包括姓名、联系信息和健康账单记录。

研究人员还报告说，Clop可能早在2021年就一直在利用MOVEit漏洞。美国风险咨询公司Kroll在一份报告中表示，虽然该漏洞在5月下旬才曝光，但其研究人员发现的活动表明Clop正在试验将近两年来利用此特定漏洞的方法。

Kroll研究人员说：“这一发现说明了大规模利用事件（例如MOVEit Transfer网络攻击）所涉及的复杂知识和计划。”

Secureworks Counter Threat Unit威胁研究主管Chris Yule表示，网络罪犯可能需要一些时间才能对付受害者。

“是否会有一个转储或滴灌还有待观察，[但]GoAnywhere 受害者是在14天内分批发布的，”Yule说。

“Clop发布的第一个名字包括许多美国金融服务公司。虽然上传刚刚开始，但我们预计受害者的其余部分可能位于美国，因为互联网上的大多数MOVEit服务器都位于美国。”

Picus Security的威胁研究员Hüseyin Can Yuceel表示，更慢地公布受害者的详细信息可能会迫使其他人支付赎金，很明显，Clop 的威胁并不是虚张声势。