Ransomware Cl0p (Actualización)
El ransomware Cl0p ha estado presente en el mundo de la ciberdelincuencia desde hace tiempo. Apareció en febrero de 2019, lanzando en esa fecha un importante ataque de spear phishing. Debido a esto, logró captar la atención de otros criminales y autoridades por igual.
Desde su aparición, Cl0p ha tenido un impacto significativo, llevando a cabo ataques que aprovechan vulnerabilidades, ingeniería social, entre otras técnicas. Entre sus ataques más destacados se encuentran:
- 2019: Cl0p logra realizar un importante ataque de spear phishing contra diversas empresas.
- 2020: A través de vulnerabilidades, Cl0p logra infiltrarse en la red privada de Kiteworks.
- 2021: Cl0p ejecuta ataques contra SolarWinds.
- 2023: Cl0p alcanza su mayor crecimiento en cuanto a ataques, llegando a su punto máximo de actividad histórica entre enero y junio.
Se ha identificado una posible relación entre Cl0p, TA505 y FIN11. Varias fuentes sugieren que Cl0p y TA505 podrían ser el mismo grupo, siendo TA505 el creador del ransomware; sin embargo, hasta el momento no se ha confirmado nada.
A pesar de llevar varios años en actividad, el ransomware Cl0p sigue las tendencias actuales de los grupos de ransomware, empleando tácticas de doble extorsión. Primero, exfiltra la información y luego la cifra, con el objetivo de extorsionar a la víctima exigiéndole un rescate. En caso de no pagar, los atacantes amenazan con publicar la información en su sitio de filtraciones.
Sitio de filtraciones de Cl0p [4]
Nota de rescate [2]
Este ransomware también se ofrece como un Ransomware como Servicio (RaaS) y puede encontrarse en la dark web, estando disponible para cualquiera que desee adquirirlo.
En los últimos años, este ransomware ha mostrado una alta actividad. Dentro del top 10 de los grupos de ransomware más activos, Cl0p ocupa el segundo lugar, siendo superado únicamente por el famoso ransomware LockBit 3.
El éxito de Cl0p es un claro indicador de su peligrosidad y eficacia a la hora de comprometer empresas. Por ello, es fundamental tomar en cuenta su existencia y aplicar las medidas de seguridad necesarias para evitar convertirse en una víctima más de su amplio catálogo de ataques.
Grafica de las 10 principales familias de ransomware
|
Etapa |
Tecnica |
ID |
|
Resource Development |
Develop Capabilities |
T1587 |
|
Exploits |
T1587.004 |
|
|
Execution |
Command and scripting Interpreter |
T1059 |
|
Windows Command Shell |
T1059.003 |
|
|
Native API |
T1106 |
|
|
Privilege Escalation |
Hijack Execution Flow |
T1574 |
|
DLL Side-Loanding |
T1574.002 |
|
|
Defense Evasion |
Obfuscated Files or Information |
T1027 |
|
Software Packing |
T1027.002 |
|
|
Process Injection |
T1055 |
|
|
Indicator Removal |
T1070 |
|
|
File Deletion |
T1070.004 |
|
|
System Binary Proxy Execution |
T1218 |
|
|
Rundll32 |
T1218.011 |
|
|
Discovery |
----Network Connection Enu |
T0840 |
|
System Information Discovery |
T1082 |
|
|
Command and Control |
Application Layer Protocol |
T1071 |
|
Impact |
Data Encrypted for Impact |
T1486 |
|
Inhibit System Recovery |
T1490 |
Indicadores de Compromiso:
|
IOC |
Tipo |
|
http://hiperfdhaus.com |
url |
|
http://jirostrogud.com |
url |
|
http://qweastradoc.com |
url |
|
04b474e8db353d368e2d791ba5dee6d6 |
md5 |
|
11eadcf3f1bc9b0ed6994c3ede299ce8 |
md5 |
|
14dec91fdcaab96f51382a43adb84016 |
md5 |
|
250454dc24258b5825ac36f042d9cb71 |
md5 |
|
317552cac7035e35f7bdfc2162dfd29c |
md5 |
|
334fd98ab462edc1274fecdb89fb0791 |
md5 |
|
359a1141a79480555aa996fd6d9e4af1 |
md5 |
|
36d7912ff401c22e8cce925ba2d39d65 |
md5 |
|
3a0342417e8588ef7738352341e25830 |
md5 |
|
417ad60624345ef85e648038e18902ab |
md5 |
|
44d8e68c7c4e04ed3adacb5a88450552 |
md5 |
|
45685c190c91ebe0966e8a0aeca31280 |
md5 |
|
538d6e172d18d4cebeac211873779ba5 |
md5 |
|
67fca3e84490dfdddf72e9ba558b589a |
md5 |
|
6a93e618e467ed13f98819172e24fffa |
md5 |
|
7d5e5537c5346d764f067f66cca426ba |
md5 |
|
83500e433a0d63b993b91a94d9d45bcd |
md5 |
|
8cd6c75e6160b90de2a52c967b3d4846 |
md5 |
|
8d88e451e39506ae258f3aa99da8db9a |
md5 |
|
911230b5dca1c43f6d22e65c66b0f6b1 |
md5 |
|
96d467fd9663cf2e5572f8529e54f13e |
md5 |
|
9f3c306dabc3f349b343251f4443412c |
md5 |
|
a85299f78ab5dd05e7f0f11ecea165ea |
md5 |
|
b1bdad086567efd202babf56eac17e1d |
md5 |
|
b52e56bfc03878cc5cb9eae9d3896808 |
md5 |
|
b69e23cd45c8ac71652737ef44e15a34 |
md5 |
|
bf7c1dd613101c0a95027249a5fcb759 |
md5 |
|
c2db1091eb7bac28461877f736d86d83 |
md5 |
|
d71a6b5ae3d89dc33cbbb6877e493d52 |
md5 |
|
ddd95f1c76a1d50b997b2e64274f386a |
md5 |
|
e9a5f0c7656329ced63d4c8742da51b4 |
md5 |
|
eea4d43f9e3700ebcd61405776eb249a |
md5 |
|
f05a4095650daa1f9b7f72b8ded21a49 |
md5 |
|
fbba113d1d121220fa43f90b3a20870a |
md5 |
|
02f3492857f88824bae7910f171f72fa6def6837 |
sha1 |
|
08561f638b2a2ec2b0eb9871ee30b044e3085fab |
sha1 |
|
12e0643312de827621ec41a6124ded06197a19bc |
sha1 |
|
1fdb3aa2979b6595f15a90a1667ca7a6f2e54ea6 |
sha1 |
|
23f3b810267af1639e9f059536a610798cae1d65 |
sha1 |
|
281fb2985d980b8d96a527a06524d9148aa33b54 |
sha1 |
|
3f95cebb7a7bd0491912d461208118784f802ca6 |
sha1 |
|
4fa0d7b2c6a5a95cf30bf95557089796e1ad271b |
sha1 |
|
50b575c0d857782b2f76e7198c4c84b0fa60fa8b |
sha1 |
|
5b18496a7061dc356bfcdc9c57e82792797db39f |
sha1 |
|
5d88c0345937a375976187a72da0f88c632ef1d1 |
sha1 |
|
62103818559cbe4cb9cb58832d8489aa4a09f129 |
sha1 |
|
65e8498c0df53a31408665f239b2fb2adeaf7090 |
sha1 |
|
675a908d28570e89b65d06cb4769923353f538da |
sha1 |
|
794135ba34e99b3c583168a8a15ba09ed869e07e |
sha1 |
|
7bb0bf60b5cd1b42b4774ece368efdf9e759acff |
sha1 |
|
87404240fd05785c91b7eb69ad5722f87a57c239 |
sha1 |
|
8e5f1af4d2559f509ed1368fd5028e30fbcd64dd |
sha1 |
|
a85d9d2a3913011cd282abc7d9711b2346c23899 |
sha1 |
|
ad22b3dea7afedbc304edec373bce41b7247a73e |
sha1 |
|
ad8caaab10ea9b378a668ce40bd2e169d0e0dd6d |
sha1 |
|
b30dc8a6cb687dea331370963fa8e76183c73511 |
sha1 |
|
bc215a749524337298f4c5242092838b6eae7e19 |
sha1 |
|
c063ff83f2c85620637549b8f5c67df84610ce6b |
sha1 |
|
c48fa2de1ce986c77258c84d9896f3867f8fcc86 |
sha1 |
|
d34550ebc2bee47c708c8e048eb78881468e6bca |
sha1 |
|
d972fb8ffb36d16c91cb745d37545e1fa805a931 |
sha1 |
|
e18e6f975ef8fce97790fb8ae583caad1ec7d5b3 |
sha1 |
|
e3496a341c96d77c0ef9bdeec333dd98e2215527 |
sha1 |
|
e7f3f1b8925411a8e33e0dc6e5767cfcda7136f5 |
sha1 |
|
f0d3354c7a49619f407e16bbb94b410f8ded1ac4 |
sha1 |
|
f1e4d5175d65ba29f200988223f04063fcc28f9d |
sha1 |
|
f3b625622d64e0ccd383f623c0c56ca3c2d820e9 |
sha1 |
|
fb666835fa6d16fc6e5da965d6e7913358438673 |
sha1 |
|
0ea05169d111415903a1098110c34cdbbd390c23016cd4e179dd9ef507104495 |
sha256 |
|
2413b5d0750c23b07999ec33a5b4930be224b661aaf290a0118db803f31acbc5 |
sha256 |
|
348e435196dd795e1ec31169bd111c7ec964e5a6ab525a562b17f10de0ab031d |
sha256 |
|
37546b811e369547c8bd631fa4399730d3bdaff635e744d83632b74f44f56cf6 |
sha256 |
|
387cee566aedbafa8c114ed1c6b98d8b9b65e9f178cf2f6ae2f5ac441082747a |
sha256 |
|
3a977446ed70b02864ef8cfa3135d8b134c93ef868a4cc0aa5d3c2a74545725b |
sha256 |
|
3ab73ea9aebf271e5f3ed701286701d0be688bf7ad4fb276cb4fbe35c8af8409 |
sha256 |
|
3c0dbda8a5500367c22ca224919bfc87d725d890756222c8066933286f26494c |
sha256 |
|
4359aead416b1b2df8ad9e53c497806403a2253b7e13c03317fc08ad3b0b95bf |
sha256 |
|
48367d94ccb4411f15d7ef9c455c92125f3ad812f2363c4d2e949ce1b615429a |
sha256 |
|
555964b2fed3cced4c75a383dd4b3cf02776dae224f4848dcc03510b1de4dbf4 |
sha256 |
|
55e070a86b3ef2488d0e58f945f432aca494bfe65c9c4363d739649225efbbd1 |
sha256 |
|
58ccfb603cdc4d305fddd52b84ad3f58ff554f1af4d7ef164007cb8438976166 |
sha256 |
|
5b566de1aa4b2f79f579cdac6283b33e98fdc8c1cfa6211a787f8156848d67ff |
sha256 |
|
6015fed13c5510bbb89b0a5302c8b95a5b811982ff6de9930725c4630ec4011d |
sha256 |
|
702421bcee1785d93271d311f0203da34cc936317e299575b06503945a6ea1e0 |
sha256 |
|
769f77aace5eed4717c7d3142989b53bd5bac9297a6e11b2c588c3989b397e6b |
sha256 |
|
76f860a0e238231c2ac262901ce447e83d840e16fca52018293c6cf611a6807e |
sha256 |
|
7c39499dd3b0b283b242f7b7996205a9b3cf8bd5c943ef6766992204d46ec5f1 |
sha256 |
|
93137272f3654d56b9ce63bec2e40dd816c82fb6bad9985bed477f17999a47db |
sha256 |
|
9d1723777de67bc7e11678db800d2a32de3bcd6c40a629cd165e3f7bbace8ead |
sha256 |
|
9e89d9f045664996067a05610ea2b0ad4f7f502f73d84321fb07861348fdc24a |
sha256 |
|
a1269294254e958e0e58fc0fe887ebbc4201d5c266557f09c3f37542bd6d53d7 |
sha256 |
|
b1c299a9fe6076f370178de7b808f36135df16c4e438ef6453a39565ff2ec272 |
sha256 |
|
b9a0baf82feb08e42fa6ca53e9ec379e79fbe8362a7dac6150eb39c2d33d94ad |
sha256 |
|
bdd4fa8e97e5e6eaaac8d6178f1cf4c324b9c59fc276fd6b368e811b327ccf8b |
sha256 |
|
c56bcb513248885673645ff1df44d3661a75cfacdce485535da898aa9ba320d4 |
sha256 |
|
c77438e8657518221613fbce451c664a75f05beea2184a3ae67f30ea71d34f37 |
sha256 |
|
cf23ea0d63b4c4c348865cefd70c35727ea8c82ba86d56635e488d816e60ea45 |
sha256 |
|
d477ec94e522b8d741f46b2c00291da05c72d21c359244ccb1c211c12b635899 |
sha256 |
|
d49cf23d83b2743c573ba383bf6f3c28da41ac5f745cde41ef8cd1344528c195 |
sha256 |
|
daaa102d82550f97642887514093c98ccd51735e025995c2cc14718330a856f4 |
sha256 |
|
e8012a15b6f6b404a33f293205b602ece486d01337b8b3ec331cd99ccadb562e |
sha256 |
|
e90bdaaf5f9ca900133b699f18e4062562148169b29cb4eb37a0577388c22527 |
sha256 |
|
ea433739fb708f5d25c937925e499c8d2228bf245653ee89a6f3d26a5fd00b7a |
sha256 |
|
f0d85b65b9f6942c75271209138ab24a73da29a06bc6cc4faeddcb825058c09d |
sha256 |
|
fd7cbadcfca84b38380cf57898d0de2adcdfb9c3d64d17f886e8c5903e416039 |
sha256 |
|
fe5f8388ccea7c548d587d1e2843921c038a9f4ddad3cb03f3aa8a45c29c6a2f |
sha256 |
Recomendaciones
-
Establecer controles de acceso SSH basados en la red para minimizar el riesgo de ataque
-
Auditar herramientas de acceso remoto. (NIST CSF, 2024)
-
Revisar logs para de ejecución de software de acceso remoto. (NIST CSF, 2024)
-
Limitar estrictamente el uso de los protocolos SMB y RDP.
-
Realizar auditorías de seguridad. (NIST CSF, 2024)
-
Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)
-
Tener filtros de correo electrónico y spam.
-
Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social.
-
Realizar copias de seguridad, respaldos o back-ups constantemente.
-
Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos.
-
Revisar continuamente los privilegios de los usuarios.
-
Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante).
-
Habilitar la autenticación multifactor.
Referencias
-
Kaspersky. (S.F.) El ransomware CL0P: ¿Qué es y cómo funciona? Recuperado el 28 de febrero del 2025 en: https://www.kaspersky.es/resource-center/definitions/cl0p-ransomware?srsltid=AfmBOopdSOEpCNUMhiCebgVXOsfb-SYiaqBOoQSDzCzshR009rirP1JE
-
Wallace, D. (2023, Julio 21) Clop es el número uno, ¿pero por cuánto tiempo?. Recuperado el 28 de febrero del 2025 en: https://news.sophos.com/es-es/2023/07/21/clop-es-el-numero-uno-pero-por-cuanto-tiempo/
-
Ciberseguridad (S.F) Clop Ransomware, todo lo que debes saber. Recuperado el 28 de febrero del 2025 en: https://ciberseguridad.com/amenzas/ransomware/clop/#Historia
-
RANSOMLOOK.IO (S.F) Clop. Recuperado el 28 de febrero del 2025 en: https://www.ransomlook.io/group/clop
.jfif)
