Cl0p

Cl0p es uno de los grupos de ransomware más perturbadores de la última década, conocido por la explotación masiva de vulnerabilidades en la transferencia de archivos, las campañas de extorsión a escala mundial y su incesante adaptación a pesar de las repetidas medidas enérgicas de las fuerzas del orden.

¿Está su organización a salvo de un ataque de ransomware Cl0p?

El origen del Cl0p

Cl0p es un grupo cibercriminal con motivaciones financieras que se observó por primera vez en 2019, operando como una variante de ransomware dentro del sindicato cibercriminal más amplio TA505. El grupo se distinguió rápidamente por adoptar un modelo de doble extorsión, cifrando archivos y al mismo tiempo exfiltrando datos confidenciales para un mayor apalancamiento. Con el tiempo, Cl0p se convirtió en una de las operaciones de ransomware como servicio (RaaS) más activas y destructivas, dirigida a organizaciones de todos los sectores en todo el mundo.

El grupo está asociado con actores de habla rusa, y los servicios de inteligencia sugieren lazos con Europa del Este. Sus operaciones se han adaptado constantemente a la presión de las fuerzas de seguridad, demostrando capacidad de resistencia y sofisticación operativa.

Países objetivo de Cl0p

Se han registrado víctimas en Norteamérica, Europa y Asia-Pacífico. Estados Unidos, Corea del Sur, Alemania y el Reino Unido han sido los países más afectados, aunque Cl0p está presente en todo el mundo.

Industrias objetivo de Cl0p

Históricamente, Cl0p se ha centrado en los sectores financiero, sanitario, educativo, gubernamental, energético y tecnológico. Su elección de víctimas hace hincapié en las organizaciones con operaciones críticas, lo que aumenta la presión de los rescates. En particular, aprovecharon las debilidades de la cadena de suministro de software para acceder a cientos de empresas simultáneamente.

Víctimas conocidas de Cl0p

Entre las víctimas más destacadas se encuentran Accellion, Shell, Qualys, Flagstar Bank y clientes de GoAnywhere MFT. A través de campañas de explotación masiva, Cl0p logró afectar a decenas de empresas de Fortune 500, así como a organismos gubernamentales y universidades.

Método de ataque

Método de ataque de Cl0p

Una figura sombría tiende una amplia red sobre un paisaje digital repleto de diversos dispositivos, como ordenadores, teléfonos inteligentes y tabletas. La red simboliza los intentos del atacante de encontrar vulnerabilidades o utilizar técnicas de phishing para obtener acceso no autorizado.

Cl0p es más conocido por conseguir entrar a través de vulnerabilidades de zero-day en sistemas de transferencia de archivos gestionados como Accellion FTA, GoAnywhere MFT y MOVEit Transfer. Estos sistemas son objetivos atractivos porque se utilizan ampliamente en diversos sectores, a menudo contienen datos confidenciales y son directamente accesibles desde Internet. El grupo también ha sido observado utilizando campañas de phishing con archivos adjuntos maliciosos para obtener credenciales válidas, aunque la explotación a gran escala de software empresarial sigue siendo su método principal.

Una escalera digital que se extiende hacia arriba desde un icono de usuario básico hacia una corona que simboliza privilegios administrativos. Esto representa los esfuerzos del atacante para obtener acceso de nivel superior dentro del sistema.

Una vez dentro, los operadores de Cl0p se mueven con rapidez para asegurarse el acceso privilegiado. Utilizan herramientas como Mimikatz para extraer credenciales y pueden aprovechar servicios de Windows mal configurados.

Un camaleón que se funde con un fondo digital, con ceros y unos fluyendo a su alrededor. Representa la capacidad del atacante para evitar ser detectado por las medidas de seguridad, cambiando de táctica para mezclarse con el tráfico normal de la red.

Las cuentas válidas se utilizan entonces para la persistencia, lo que les permite permanecer dentro de los entornos sin ser detectados mientras preparan las siguientes fases de su operación. Cl0p demuestra conocer las herramientas de seguridad de las empresas. Intentan desactivar el antivirus y la protección de puntos finales, manipulan los registros y utilizan técnicas de ofuscación para ocultar su actividad. En campañas más recientes, se empleó tráfico de exfiltración cifrado para evitar la activación de los controles de prevención de pérdida de datos o detección de intrusiones.

Un ladrón con una ganzúa trabajando en un ojo de cerradura gigante con forma de formulario de inicio de sesión, que representa los esfuerzos del atacante por robar credenciales de usuario para obtener acceso no autorizado.

Recoge credenciales de administrador mediante keylogging, memory scraping y credential dumping.

Una lupa moviéndose sobre un mapa digital de una red, resaltando archivos, carpetas y conexiones de red. Esta imagen representa la fase en la que los atacantes exploran el entorno para comprender la estructura y dónde residen los datos valiosos.

Realiza reconocimientos internos para cartografiar sistemas e identificar datos sensibles.

Una serie de nodos interconectados con una figura sombría moviéndose sigilosamente entre ellos. Esto ilustra los movimientos del atacante dentro de la red, buscando obtener el control de sistemas adicionales o propagarse malware.

Con credenciales válidas en la mano, Cl0p utiliza técnicas como el abuso de RDP y PSExec para moverse lateralmente. Su objetivo son los recursos compartidos administrativos y aprovechan las cuentas de dominio para propagarse rápidamente por los entornos empresariales. Esta etapa es crucial para identificar repositorios de datos sensibles antes de la exfiltración.

Una gran aspiradora aspira archivos, iconos de datos y carpetas en una bolsa sostenida por una figura sombría. Esta imagen simboliza el proceso de recopilación de datos valiosos de la red objetivo.

Se centra sobre todo en la identificación y exfiltración de documentos confidenciales, propiedad intelectual y datos personales.

Una ventana de símbolo del sistema abierta delante de un fondo digital, con código malicioso siendo tecleado. Esto representa la fase en la que los atacantes ejecutan su carga maliciosa en el sistema comprometido.

El grupo despliega la carga útil del ransomware Cl0p para cifrar archivos mediante una combinación de cifrado AES y RSA, dejando tras de sí notas de rescate con instrucciones para la negociación.

Una serie de archivos que se canalizan a través de un canal encubierto desde un ordenador a una dirección cloud etiquetada con una calavera, que simboliza la transferencia no autorizada de datos a un lugar controlado por el atacante.

Transfiere los datos robados a servidores externos bajo control del grupo, a menudo antes de cifrarlos.

Una pantalla agrietada con un paisaje urbano digital en caos detrás, que simboliza el impacto destructivo del ciberataque, como la interrupción del servicio, la destrucción de datos o las pérdidas financieras.

El cifrado suele reservarse para la fase final, lo que garantiza que los datos sensibles ya han sido robados. Las víctimas que se niegan a pagar se enfrentan a la publicación en el sitio Cl0p^_- LEAKS, que sirve tanto de táctica de presión como de herramienta de reputación para el grupo.

Una figura sombría tiende una amplia red sobre un paisaje digital repleto de diversos dispositivos, como ordenadores, teléfonos inteligentes y tabletas. La red simboliza los intentos del atacante de encontrar vulnerabilidades o utilizar técnicas de phishing para obtener acceso no autorizado.
Acceso inicial

Cl0p es más conocido por conseguir entrar a través de vulnerabilidades de zero-day en sistemas de transferencia de archivos gestionados como Accellion FTA, GoAnywhere MFT y MOVEit Transfer. Estos sistemas son objetivos atractivos porque se utilizan ampliamente en diversos sectores, a menudo contienen datos confidenciales y son directamente accesibles desde Internet. El grupo también ha sido observado utilizando campañas de phishing con archivos adjuntos maliciosos para obtener credenciales válidas, aunque la explotación a gran escala de software empresarial sigue siendo su método principal.

Una escalera digital que se extiende hacia arriba desde un icono de usuario básico hacia una corona que simboliza privilegios administrativos. Esto representa los esfuerzos del atacante para obtener acceso de nivel superior dentro del sistema.
Escalada de privilegios

Una vez dentro, los operadores de Cl0p se mueven con rapidez para asegurarse el acceso privilegiado. Utilizan herramientas como Mimikatz para extraer credenciales y pueden aprovechar servicios de Windows mal configurados.

Un camaleón que se funde con un fondo digital, con ceros y unos fluyendo a su alrededor. Representa la capacidad del atacante para evitar ser detectado por las medidas de seguridad, cambiando de táctica para mezclarse con el tráfico normal de la red.
Defensa Evasión

Las cuentas válidas se utilizan entonces para la persistencia, lo que les permite permanecer dentro de los entornos sin ser detectados mientras preparan las siguientes fases de su operación. Cl0p demuestra conocer las herramientas de seguridad de las empresas. Intentan desactivar el antivirus y la protección de puntos finales, manipulan los registros y utilizan técnicas de ofuscación para ocultar su actividad. En campañas más recientes, se empleó tráfico de exfiltración cifrado para evitar la activación de los controles de prevención de pérdida de datos o detección de intrusiones.

Un ladrón con una ganzúa trabajando en un ojo de cerradura gigante con forma de formulario de inicio de sesión, que representa los esfuerzos del atacante por robar credenciales de usuario para obtener acceso no autorizado.
Acceso con credenciales

Recoge credenciales de administrador mediante keylogging, memory scraping y credential dumping.

Una lupa moviéndose sobre un mapa digital de una red, resaltando archivos, carpetas y conexiones de red. Esta imagen representa la fase en la que los atacantes exploran el entorno para comprender la estructura y dónde residen los datos valiosos.
Descubrimiento

Realiza reconocimientos internos para cartografiar sistemas e identificar datos sensibles.

Una serie de nodos interconectados con una figura sombría moviéndose sigilosamente entre ellos. Esto ilustra los movimientos del atacante dentro de la red, buscando obtener el control de sistemas adicionales o propagarse malware.
Movimiento lateral

Con credenciales válidas en la mano, Cl0p utiliza técnicas como el abuso de RDP y PSExec para moverse lateralmente. Su objetivo son los recursos compartidos administrativos y aprovechan las cuentas de dominio para propagarse rápidamente por los entornos empresariales. Esta etapa es crucial para identificar repositorios de datos sensibles antes de la exfiltración.

Una gran aspiradora aspira archivos, iconos de datos y carpetas en una bolsa sostenida por una figura sombría. Esta imagen simboliza el proceso de recopilación de datos valiosos de la red objetivo.
Colección

Se centra sobre todo en la identificación y exfiltración de documentos confidenciales, propiedad intelectual y datos personales.

Una ventana de símbolo del sistema abierta delante de un fondo digital, con código malicioso siendo tecleado. Esto representa la fase en la que los atacantes ejecutan su carga maliciosa en el sistema comprometido.
Ejecución

El grupo despliega la carga útil del ransomware Cl0p para cifrar archivos mediante una combinación de cifrado AES y RSA, dejando tras de sí notas de rescate con instrucciones para la negociación.

Una serie de archivos que se canalizan a través de un canal encubierto desde un ordenador a una dirección cloud etiquetada con una calavera, que simboliza la transferencia no autorizada de datos a un lugar controlado por el atacante.
Exfiltración

Transfiere los datos robados a servidores externos bajo control del grupo, a menudo antes de cifrarlos.

Una pantalla agrietada con un paisaje urbano digital en caos detrás, que simboliza el impacto destructivo del ciberataque, como la interrupción del servicio, la destrucción de datos o las pérdidas financieras.
Impacto

El cifrado suele reservarse para la fase final, lo que garantiza que los datos sensibles ya han sido robados. Las víctimas que se niegan a pagar se enfrentan a la publicación en el sitio Cl0p^_- LEAKS, que sirve tanto de táctica de presión como de herramienta de reputación para el grupo.

MITRE ATT&CK Cartografía

TTPs de Cl0p

TA0001: Initial Access
T1566
Phishing
T1190
Exploit Public-Facing Application
T1078
Valid Accounts
TA0002: Execution
No items found.
TA0003: Persistence
T1078
Valid Accounts
TA0004: Privilege Escalation
T1078
Valid Accounts
TA0005: Defense Evasion
T1027
Obfuscated Files or Information
T1078
Valid Accounts
TA0006: Credential Access
T1003
OS Credential Dumping
TA0007: Discovery
No items found.
TA0008: Lateral Movement
T1077
Remote Services: SMB/Windows Admin Shares
TA0009: Collection
T1074
Data Staged
TA0011: Command and Control
No items found.
TA0010: Exfiltration
T1041
Exfiltration Over C2 Channel
TA0040: Impact
T1657
Financial Theft
T1486
Data Encrypted for Impact

Preguntas frecuentes

¿Cuándo se identificó por primera vez el Cl0p?

¿Qué hace que Cl0p sea único en comparación con otros grupos de ransomware?

¿Qué métodos de encriptación utiliza Cl0p?

¿Cómo obtiene Cl0p el acceso inicial?

¿Cuál ha sido su campaña más impactante?

¿Ha habido acciones policiales contra Cl0p?

¿Cómo gestiona Cl0p las negociaciones de rescate?

¿Funciona Cl0p como RaaS?

¿Puede la plataforma Vectra AI detectar la actividad de Cl0p?

¿Cuál es la situación actual de Cl0p a 2 de octubre de 2025?