Cl0p

Cl0p es una adversario que se ha hecho conocido por llevar a cabo operaciones de ransomware. Pertenece al igual que grupos como LockBit o BlackCat/ALPHV al “Big Game Hunting”. El adversario ha estado activo desde al menos 2019 y ha atacado a numerosas organizaciones en todo el mundo, incluyendo empresas, organizaciones gubernamentales y entidades educativas. Generalmente, se asocia con el adversario FIN11.

El modus operandi de Cl0p, al igual que el del resto de operadores de ransomware, consiste en penetrar en la red de una organización, cifrar sus archivos críticos y luego exigir un pago en criptomonedas, generalmente Bitcoin, a cambio de proporcionar la clave de descifrado.

Es conocido por atacar organizaciones en América del Norte y Europa como instituciones gubernamentales, de atención médica y educativas. El ransomware Cl0p parece ser un descendiente (o variante) de otro ransomware, “CryptoMix”, que también tiene una asociación con FIN11.

Una característica distintiva de Cl0p es la cadena “Dont Worry C|0P”, que se incluye en las notas de rescate dejadas por los atacantes, al que añaden la extensión “.clop” a los archivos una vez que han sido cifrados en el sistema de la víctima. Según el último análisis de amenazas de Mandiant, un 43% de sus ataques han sido dirigidos contra Alemania y el 28.6 % contra EEUU.

El grupo emplea una táctica común, conocida como “doble extorsión“, primero se exfiltran los datos y después se cifran los sistemas. Además de la disrupción de la actividad de la empresa debido al cifrado, y como medida adicional de presión, el adversario amenaza con publicar la información extraída si la víctima no paga el rescate.

El grupo ha sido observado atacando plataformas de transferencia gestionada de archivos (MFT). Destaca su campaña contra File Transfer Appliance (FTA) Accellion, MOVEit o GoAnywhere:

• Accellion: En diciembre de 2020, una cadena de ataques tuvo como objetivo la aplicación de intercambio de archivos Accellion FTA, explotando dos parejas de CVEs (CVE-2021-27103 y CVE-2021-27104) en cadena con el propósito de recuperar claves de cifrado de la base de datos Accellion y generar tokens de petición válidos. Estos tokens son necesarios para ejecutar comandos arbitrarios y desplegar webshells en el sistema, lo que permitió a los atacantes robar datos almacenados en el backend de los servidores. En su comunicado de prensa, Accellion comunicó que “había 300 clientes usando su antiguo servicio de FTA ” los cuales pudieron verse afectados por esta vulnerabilidad explotada por el grupo. De estos clientes, al menos 100 fueron víctimas de los ataques de Cl0p. Mandiant atribuyó la campaña global de explotación de vulnerabilidades zero-day al grupo.
• MOVEit: El 27 de mayo de 2023, Cl0p inició ataques generalizados de robo de datos explotando una vulnerabilidad de día cero (zero-day) en la  plataforma segura de transferencia de archivos MOVEit Transfer. En el momento que se dio a conocer la explotación de esta vulnerabilidad, desde Shodan se detectaron más de 2500 servidores web que ejecutaban esta versión vulnerable de MOVEit. Se calcula que el grupo obtuvo entre 75 y 100 millones de dólares con este ataque.

OpenText lanzó su ranking anual de las amenazas de malware más peligrosas del 2023, llamado “Nastiest Malware of 2023“. En esta lista, Cl0p se destaca como la principal amenaza debido a sus demandas de rescate extremadamente altas mediante su campaña MOVEit.