Cl0p
Cl0p es uno de los grupos de ransomware más perturbadores de la última década, conocido por la explotación masiva de vulnerabilidades en la transferencia de archivos, las campañas de extorsión a escala mundial y su incesante adaptación a pesar de las repetidas medidas enérgicas de las fuerzas del orden.
El origen del Cl0p
Cl0p es un grupo cibercriminal con motivaciones financieras que se observó por primera vez en 2019, operando como una variante de ransomware dentro del sindicato cibercriminal más amplio TA505. El grupo se distinguió rápidamente por adoptar un modelo de doble extorsión, cifrando archivos y al mismo tiempo exfiltrando datos confidenciales para un mayor apalancamiento. Con el tiempo, Cl0p se convirtió en una de las operaciones de ransomware como servicio (RaaS) más activas y destructivas, dirigida a organizaciones de todos los sectores en todo el mundo.
El grupo está asociado con actores de habla rusa, y los servicios de inteligencia sugieren lazos con Europa del Este. Sus operaciones se han adaptado constantemente a la presión de las fuerzas de seguridad, demostrando capacidad de resistencia y sofisticación operativa.
Países objetivo de Cl0p
Se han registrado víctimas en Norteamérica, Europa y Asia-Pacífico. Estados Unidos, Corea del Sur, Alemania y el Reino Unido han sido los países más afectados, aunque Cl0p está presente en todo el mundo.
Industrias objetivo de Cl0p
Históricamente, Cl0p se ha centrado en los sectores financiero, sanitario, educativo, gubernamental, energético y tecnológico. Su elección de víctimas hace hincapié en las organizaciones con operaciones críticas, lo que aumenta la presión de los rescates. En particular, aprovecharon las debilidades de la cadena de suministro de software para acceder a cientos de empresas simultáneamente.
Víctimas conocidas de Cl0p
Entre las víctimas más destacadas se encuentran Accellion, Shell, Qualys, Flagstar Bank y clientes de GoAnywhere MFT. A través de campañas de explotación masiva, Cl0p logró afectar a decenas de empresas de Fortune 500, así como a organismos gubernamentales y universidades.
Método de ataque de Cl0p
Cl0p es más conocido por conseguir entrar a través de vulnerabilidades de zero-day en sistemas de transferencia de archivos gestionados como Accellion FTA, GoAnywhere MFT y MOVEit Transfer. Estos sistemas son objetivos atractivos porque se utilizan ampliamente en diversos sectores, a menudo contienen datos confidenciales y son directamente accesibles desde Internet. El grupo también ha sido observado utilizando campañas de phishing con archivos adjuntos maliciosos para obtener credenciales válidas, aunque la explotación a gran escala de software empresarial sigue siendo su método principal.
Una vez dentro, los operadores de Cl0p se mueven con rapidez para asegurarse el acceso privilegiado. Utilizan herramientas como Mimikatz para extraer credenciales y pueden aprovechar servicios de Windows mal configurados.
Las cuentas válidas se utilizan entonces para la persistencia, lo que les permite permanecer dentro de los entornos sin ser detectados mientras preparan las siguientes fases de su operación. Cl0p demuestra conocer las herramientas de seguridad de las empresas. Intentan desactivar el antivirus y la protección de puntos finales, manipulan los registros y utilizan técnicas de ofuscación para ocultar su actividad. En campañas más recientes, se empleó tráfico de exfiltración cifrado para evitar la activación de los controles de prevención de pérdida de datos o detección de intrusiones.
Recoge credenciales de administrador mediante keylogging, memory scraping y credential dumping.
Realiza reconocimientos internos para cartografiar sistemas e identificar datos sensibles.
Con credenciales válidas en la mano, Cl0p utiliza técnicas como el abuso de RDP y PSExec para moverse lateralmente. Su objetivo son los recursos compartidos administrativos y aprovechan las cuentas de dominio para propagarse rápidamente por los entornos empresariales. Esta etapa es crucial para identificar repositorios de datos sensibles antes de la exfiltración.
Se centra sobre todo en la identificación y exfiltración de documentos confidenciales, propiedad intelectual y datos personales.
El grupo despliega la carga útil del ransomware Cl0p para cifrar archivos mediante una combinación de cifrado AES y RSA, dejando tras de sí notas de rescate con instrucciones para la negociación.
Transfiere los datos robados a servidores externos bajo control del grupo, a menudo antes de cifrarlos.
El cifrado suele reservarse para la fase final, lo que garantiza que los datos sensibles ya han sido robados. Las víctimas que se niegan a pagar se enfrentan a la publicación en el sitio Cl0p^_- LEAKS, que sirve tanto de táctica de presión como de herramienta de reputación para el grupo.
Cl0p es más conocido por conseguir entrar a través de vulnerabilidades de zero-day en sistemas de transferencia de archivos gestionados como Accellion FTA, GoAnywhere MFT y MOVEit Transfer. Estos sistemas son objetivos atractivos porque se utilizan ampliamente en diversos sectores, a menudo contienen datos confidenciales y son directamente accesibles desde Internet. El grupo también ha sido observado utilizando campañas de phishing con archivos adjuntos maliciosos para obtener credenciales válidas, aunque la explotación a gran escala de software empresarial sigue siendo su método principal.
Una vez dentro, los operadores de Cl0p se mueven con rapidez para asegurarse el acceso privilegiado. Utilizan herramientas como Mimikatz para extraer credenciales y pueden aprovechar servicios de Windows mal configurados.
Las cuentas válidas se utilizan entonces para la persistencia, lo que les permite permanecer dentro de los entornos sin ser detectados mientras preparan las siguientes fases de su operación. Cl0p demuestra conocer las herramientas de seguridad de las empresas. Intentan desactivar el antivirus y la protección de puntos finales, manipulan los registros y utilizan técnicas de ofuscación para ocultar su actividad. En campañas más recientes, se empleó tráfico de exfiltración cifrado para evitar la activación de los controles de prevención de pérdida de datos o detección de intrusiones.
Recoge credenciales de administrador mediante keylogging, memory scraping y credential dumping.
Realiza reconocimientos internos para cartografiar sistemas e identificar datos sensibles.
Con credenciales válidas en la mano, Cl0p utiliza técnicas como el abuso de RDP y PSExec para moverse lateralmente. Su objetivo son los recursos compartidos administrativos y aprovechan las cuentas de dominio para propagarse rápidamente por los entornos empresariales. Esta etapa es crucial para identificar repositorios de datos sensibles antes de la exfiltración.
Se centra sobre todo en la identificación y exfiltración de documentos confidenciales, propiedad intelectual y datos personales.
El grupo despliega la carga útil del ransomware Cl0p para cifrar archivos mediante una combinación de cifrado AES y RSA, dejando tras de sí notas de rescate con instrucciones para la negociación.
Transfiere los datos robados a servidores externos bajo control del grupo, a menudo antes de cifrarlos.
El cifrado suele reservarse para la fase final, lo que garantiza que los datos sensibles ya han sido robados. Las víctimas que se niegan a pagar se enfrentan a la publicación en el sitio Cl0p^_- LEAKS, que sirve tanto de táctica de presión como de herramienta de reputación para el grupo.
TTPs de Cl0p
Cómo detectar Cl0p con Vectra AI
Preguntas frecuentes
¿Cuándo se identificó por primera vez el Cl0p?
Cl0p se vio por primera vez en 2019, asociado a TA505.
¿Qué hace que Cl0p sea único en comparación con otros grupos de ransomware?
Fueron pioneros en la explotación a gran escala de soluciones de transferencia de archivos gestionadas, permitiendo campañas de ransomware al estilo de la cadena de suministro.
¿Qué métodos de encriptación utiliza Cl0p?
Utiliza un cifrado híbrido AES + RSA para bloquear los archivos y garantizar que el descifrado requiera su clave privada.
¿Cómo obtiene Cl0p el acceso inicial?
Aprovechan vulnerabilidades zero-day en dispositivos como Accellion FTA, MOVEit Transfer y GoAnywhere MFT, así como phishing.
¿Cuál ha sido su campaña más impactante?
La campaña Accellion FTA (2020-2021) y la explotación masiva MOVEit en 2023 fueron algunas de las más dañinas.
¿Ha habido acciones policiales contra Cl0p?
Sí. En 2021 y 2023, las fuerzas de seguridad ucranianas llevaron a cabo redadas y detenciones de afiliados con el apoyo de Europol e Interpol. Las incautaciones de infraestructuras también interrumpieron temporalmente las operaciones.
¿Cómo gestiona Cl0p las negociaciones de rescate?
Utilizan portales de comunicación anónimos, fijan plazos estrictos y amenazan con publicar datos sensibles en su sitio de filtraciones.
¿Funciona Cl0p como RaaS?
Sí. Se reclutan afiliados para difundir el malware, con acuerdos de reparto de beneficios.
¿Puede la plataforma Vectra AI detectar la actividad de Cl0p?
Sí. Al analizar el movimiento lateral, el uso inusual de credenciales y los patrones de exfiltración de datos, la plataforma Vectra AI puede sacar a la luz indicadores tempranos antes de que comience el cifrado.
¿Cuál es la situación actual de Cl0p a 2 de octubre de 2025?
Cl0p sigue activo a pesar de las repetidas interrupciones. Sus campañas han cambiado hacia la explotación dezero-day de herramientas de transferencia de archivos empresariales, manteniendo su reputación como operador de ransomware de alto impacto.