El ransomware CL0P surgió a principios de 2019 y está asociado con el grupo de amenazas TA505. Continúan activos desde enero de 2022. Los ataques de alto perfil han puesto de relieve sus agresivas campañas contra las grandes empresas. Las cargas útiles maliciosas suelen estar firmadas digitalmente y emplean múltiples controles para evitar el análisis.
Aprovechando innumerables vulnerabilidades y exploits para algunas de las organizaciones más grandes del mundo. La presunta pandilla rusa tomó su nombre de la palabra rusa "klop", que se traduce como "chinche" y a menudo se escribe como "CLOP" o "cl0p". Una vez que los archivos de sus víctimas están cifrados, se agregan extensiones ".clop" a sus archivos.
La banda de ransomware CL0P (estrechamente asociada con los grupos de cibercrimen TA505. FIN11 y UNC2546) era conocida por sus campañas extremadamente destructivas y agresivas, dirigidas a grandes organizaciones de todo el mundo durante 2023. La banda de ransomware "big game hunter" utilizó la función "robar, cifrar y filtrar" en numerosas grandes empresas con un interés específico en las industrias de finanzas, manufactura y atención médica.
En resumen, esto significa que los afiliados realizan un depósito para utilizar la herramienta y luego dividen el pago del rescate con el grupo LockBit.
Se ha informado que algunos afiliados reciben una participación de hasta el 75%. Los operadores de LockBit han publicado anuncios de su programa de afiliados en foros criminales en ruso afirmando que no operarán en Rusia ni en ningún país de la CEI, ni trabajarán con desarrolladores de habla inglesa a menos que un "garante" de habla rusa avale por ellos. 'La prolificidad del LockBit Ransomware'
El pronóstico Global Threat Landscape 2024 de SecurityHQ habló sobre el resurgimiento de CL0P en el panorama del ransomware y uno a tener en cuenta en 2024.
A lo largo de marzo de 2023, la banda de ransomware CL0P intentó explotar la vulnerabilidad de día cero 'Fortra GoAnywhere MFT'. Registrados como CVE-2023- 0669, los atacantes pudieron aprovechar versiones sin parches del software con acceso a Internet para obtener RCE. La vulnerabilidad se solucionó al día siguiente, pero el grupo ya se había dirigido con éxito a más de 100 organizaciones.
Luego, en abril, Microsoft pudo identificar la participación de dos bandas de ransomware (CL0P y LockBit) que estaban explotando los CVE-2023-27350 y CVE 2023-27351 rastreados. Contenido dentro del software de gestión de impresión conocido como PaperCut, que es una herramienta común utilizada entre todas las grandes imprentas del mundo.
Los grupos pudieron explotar esta vulnerabilidad, implementando con éxito el infame malware TrueBot que se había utilizado muchos meses antes. Un objetivo perfecto para empresas como CL0P, cuyas tácticas han pasado de no solo cifrar los archivos a robar los datos para extorsionar aún más a las organizaciones. Esto funcionó perfectamente ya que Papercut cuenta con una herramienta de "Archivo de impresión" que guarda cualquier trabajo/documento que se envía a través de su servidor.
El mayor evento del grupo se produjo en mayo; Los ampliamente utilizados MOVEit Transfer (CVE-2023-24362) y MOVEit Cloud Software (CVE-2023-35036) fueron explotados activamente a través de una vulnerabilidad de inyección SQL desconocida.
CL0P pudo capitalizar redes y sistemas vulnerables extremadamente rápido, extrayendo datos confidenciales de algunas de las organizaciones más grandes del mundo (BBC, Ernst Young, PwC, Gen Digital, British Airways, TFL, Siemens y muchas más). El grupo declaró que había eliminado todos los datos relacionados con gobiernos, militares y hospitales, pero como varias agencias gubernamentales de EE. UU. se vieron afectadas por la violación de MOVEit, se estableció una recompensa de 10 millones de dólares que podría ayudar a vincularlos con un agente extranjero.
El grupo no solo jugó un papel importante en la afluencia de actividad de ransomware a lo largo de 2023, sino que fue casi el único responsable del drástico aumento en los pagos promedio de ransomware.
Los operadores de CL0P son famosos por hacer todo lo posible para transmitir su mensaje. Después de mostrar públicamente las pruebas de la violación de la organización, publicar datos en su sitio de filtración y que sus mensajes sean ignorados, se dirigirán directamente a las partes interesadas y ejecutivos para asegurarse de que se cumplan sus demandas. Esto se conoce como extorsión cuádruple.
De extorsión simple a doble, de doble a triple y ahora la progresión a cuádruple, es justo decir que los grupos de ransomware no se detendrán hasta obtener lo que vinieron a buscar. Al igual que la doble o triple extorsión, la cuádruple extorsión añade una nueva capa que se presenta en forma de dos vías principales.
El primero son los ataques DDoS, cuyo objetivo es cerrar la presencia en línea de una organización hasta que se pague el rescate.
El acoso a diversas partes interesadas (clientes, medios de comunicación, empleados, etc.) aumenta la presión sobre quienes toman las decisiones.
SentinelOne es la única plataforma de ciberseguridad construida especialmente para proteger todos los equipos. Reemplaza el antivirus tradicional por la ciberseguridad para el punto final, la nube y la IoT. Real Time, liviano y sin actualizaciones, permite prevenir, detectar, responder y cazar a través de todos los activos de la empresa. La plataforma SentinelOne Singularity XDR puede identificar y detener cualquier actividad y elemento malicioso relacionado con CL0P.
En caso de que no tenga implementado SentinelOne, la detección de este ransomware requiere una combinación de medidas técnicas y operativas, diseñadas para identificar y señalar actividades sospechosas en la red.
En caso de que no tenga implementado SentinelOne, existen varios pasos que las organizaciones pueden seguir para mitigar el riesgo de ataques de ransomware:
En Never Off Technology, contamos con un equipo de expertos en tecnología, listos para brindarte soporte las 24 horas del día, los 7 días de la semana.
Nuestra misión es asegurarnos de que tu experiencia tecnológica sea impecable en todo momento. Con Never Off, no solo detectamos y monitoreamos cualquier eventualidad, sino que también trabajamos diligentemente para prevenir problemas futuros y, en caso de que ocurran, remediarlos de manera rápida y efectiva.
Tu tranquilidad es nuestra prioridad, y estamos aquí para asegurarnos de que tu tecnología nunca te falle.
