El ransomware Cl0p explota vulnerabilidades como técnica de ataque

Analistas expertos de inteligencia de amenazas han detectado que el grupo de ransomware Cl0p constantemente ha seguido un patrón para llevar a cabo los ataques. El modo de operación de este grupo ha sido marcado por una táctica de ataque crítica para sus víctimas, debido al constante cambio y evolución de las tecnologías. 

 

La táctica que ha definido el modo de ataque de esta amenaza es la explotación de vulnerabilidades que están declaradas como Zero-Day o también conocidas como vulnerabilidades en explotación activa. Esto facilita los ataques ya que, cuando se publican vulnerabilidades en explotación, los investigadores a menudo publican pruebas de concepto (POC) que demuestran cómo explotar la falla. Los autores de amenazas detrás de Cl0p aprovechan estas fallas en los sistemas de sus víctimas para comprometer información crítica e infiltrarse en la infraestructura. 

 

El grupo analiza metódicamente los sistemas de sus víctimas para asegurarse de que los ataques se ejecuten con éxito mediante escaneos a la infraestructura crítica de las organizaciones en busca de servicios expuestos y fallas conocidas. 

 

Es importante mencionar que este ransomware se ha destacado por explotar vulnerabilidades en soluciones de transferencia de archivos gestionadas (MFT) y por usar fallas que permiten ejecución remota de código o inyección SQL para desplegar web shells y extraer bases de datos. Una vez dentro, los operadores instalan puertas traseras, exfiltran datos, despliegan técnicas para borrar copias de seguridad, deshabilitar logs y encriptar o extorsionar a la víctima. 

 

Vulnerabilidades que ha explotado Cl0p  

 

• CVE-2021-27101, CVE-2021-27102, CVE-2021-27103 y CVE-2021-27104 (Acellion FTA) 

 

Este conjunto de vulnerabilidades fue de las primeras fallas que el grupo exploto en campañas globales y afectaban a productos Acellion FTA que es una aplicación que permite la transferencia de archivos. Las fallas en la aplicación permitían que el grupo inyección de código, ejecución de código remoto y accesos no autorizados. 

 

También se detectó que Cl0p a través de estas vulnerabilidades implementaba web shell que les ayudaba a evitar ser detectados y eliminar registros de seguridad en los equipos comprometidos. 

 

• CVE-2023-34362 (MOVEit Transfer) 

 
En mayo de 2023 Cl0p explotó una vulnerabilidad de inyección SQL contra Progress MOVEit Transfer que permitió implantar web shell (conocido en análisis como LEMURLOOT) y obtener acceso no autenticado a bases de datos para robar información.  

 

Esta vulnerabilidad formo parte de una de las campañas con más impacto masivo que el grupo ha implementado, ya que permitió exfiltrar datos de miles de organizaciones antes de que se propagaran los parches que solucionaran la falla.  

 

• CVE-2023-0669 (GoAnywhere MFT) 

 
En febrero de 2023 se identificó y parcheó un 0-day en GoAnywhere MFT. La explotación de esta falla expuso servidores MFT y permitió que el grupo lograra obtener accesos no autorizados y ejecutar código.  

 

Cl0p y otros actores aprovecharon este estas fallas MFT para comprometer infraestructuras críticas y robar ficheros.  

 

• CVE-2023-27350 (PaperCut MF) 

 

Esta vulnerabilidad afecta al sofware PaperCut que su función es gestionar impresoras en entornos corporativos. La falla le permitió al grupo ejecutar código de forma remota sin credenciales de autentificación y acceder a archivos e información confidencial de las victimas afectadas 

 

• CVE-2024-50623 y CVE-2024-55956 (Cleo Harmony, Cleo VLTrader y CleolexiCom)  

 
Informes de inteligencia han documentado que el grupo exploto esta vulnerabilidad en una campaña masiva a finales del año del 2024. Los autores de amenazas detrás de Cl0p comprometieron soluciones de Cleo en donde solo se vieron afectados algunas versiones de los productos LexiCom, VLTrader y Cleo Harmony. 

 

Esta campaña tuvo un impacto significativo y ocasiono filtraciones masivas. La explotación de esta vulnerabilidad subrayo la preferencia del grupo por atacar soluciones de transferencia y gestión de archivos. 

 
Posteriormente también se registraron que Cl0p aprovechó en múltiples ataques la vulnerabilidad CVE-2024-55956, que fue utilizada para el robo de datos y obtener accesos persistentes, antes de extorsionar a víctimas.  

 

 

• CVE-2025-61882, CVE-2025-30745, CVE-2025-30746 y CVE-2025-50107 (Oracle E-Business Suite)   

 
En 2025 han surgido reportes que asocian campañas de Cl0p con la explotación de fallas recientes en suites empresariales como Oracle EBS. Esto muestra cómo el grupo continúa explotando vulnerabilidades críticas en productos empresariales. 

 

La explotación de estas vulnerabilidades le permitió al grupo lograr ejecutar código, comprometer información de sus victimas y hasta llegar a tomar el control total de los productos afectados. 

Recomendaciones

• Establecer controles de acceso SSH basados en la red para minimizar el riesgo de ataque 

• Auditar herramientas de acceso remoto. (NIST CSF, 2024) 

• Revisar logs para de ejecución de software de acceso remoto. (NIST CSF, 2024) 

• Limitar estrictamente el uso de los protocolos SMB y RDP. 

• Realizar auditorías de seguridad. (NIST CSF, 2024) 

• Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)  

• Tener filtros de correo electrónico y spam. 

• Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social. 

• Realizar copias de seguridad, respaldos o back-ups constantemente. 

• Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos. 

• Revisar continuamente los privilegios de los usuarios. 

• Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante). 

• Habilitar la autenticación multifactor. 

Referencias

1. Kathir, M. (2025, Noviembre 05). Clop Ransomware Group Exploits New 0-Day Vulnerabilities in Active Attacks. GBHackers Security | #1 Globally Trusted Cyber Security News Platform. Recuperado el 06 de Noviembre de 2025, en: https://gbhackers.com/clop-ransomware/ 
2. Payo, A. (2024, Diciembre 29). Clop explota una vulnerabilidad en Cleo y amenaza a 66 empresas. EscudoDigital. Recuperado el 06 de Noviembre de 2025, en: https://www.escudodigital.com/ciberseguridad/clop-explota-vulnerabilidad-cleo-amenaza-66-empresas.html 
3. El grupo de ransomware CL0P aprovecha la vulnerabilidad de día cero SQLi de MOVEit (CVE-2023-34362). (2023, Junio 08). Akamai. Recuperado el 06 de Noviembre de 2025, en: https://www.akamai.com/es/blog/security-research/moveit-sqli-zero-day-exploit-clop-ransomware 
4. Security, E. (2025b, Octubre 06). Oracle corrige vulnerabilidad en E-Business Suite explotada por el grupo de ransomware Clop. Enigma Security. Recuperado el 06 de Noviembre de 2025, en: https://enigmasecurity.cl/ataques-974/ 
5. Explotación del dispositivo de transferencia de archivos Accellion. (2021, Junio 17). CISA. Recuperado el 06 de Noviembre de 2025, en: https://www.cisa.gov/news-events/cybersecurity-advisories/aa21-055a 
6. The Hacker News. (2024, Diciembre 10). Cleo File Transfer Vulnerability under exploitation – patch pending, mitigation urged. Recuperado el 06 de Noviembre de 2025, en: https://thehackernews.com/2024/12/cleo-file-transfer-vulnerability-under.html 

El nombre es requerido.

El email es requerido.

El email no es válido.

El comentario es requerido.

↻

El captcha es requerido.

Enviar Comentario

Comentarios