Il Cl0p torna a sfruttare le catene di approvvigionamento.

Dopo diversi periodi di inattività, il gruppo ransomware Cl0p è riemerso di recente e sarebbe stato collegato a campagne di estorsione rivolte ai clienti di Oracle E-Business Suite. Anche se l'attribuzione rimane controversa, con alcune prove che suggeriscono il coinvolgimento di Scattered Lapsus Hunters, il gruppo è noto per lo sfruttamento delle vulnerabilità della catena di approvvigionamento. Le loro campagne passate hanno compromesso centinaia di aziende in un'unica operazione, in settori che vanno dalla finanza alla pubblica amministrazione. Il ritorno di Cl0p segnala un continuo spostamento della strategia ransomware verso lo sfruttamento sistemico di tecnologie affidabili, rendendole una preoccupazione prioritaria per i CISO e i team di sicurezza di tutto il mondo.

Timeline di Cl0p: Dal 2019 al 2025

2019: prima apparizione e primo attacco di alto profilo

• Febbraio 2019 - Apparizione iniziale: Cl0p è stato identificato per la prima volta, operando come parte della rete criminale TA505. I ricercatori hanno osservato per la prima volta il ransomware Cl0p quando il gruppo ha utilizzato e-mail di phishing per consegnare un binario ransomware firmato digitalmente. Il malware è un discendente di CryptoMix e ha aggiunto ai file delle vittime estensioni come .Cl0p.
• Dicembre 2019 - Prima vittima importante pubblicizzata: Nel dicembre 2019, centinaia di sistemi Windows dell'Università di Maastricht sono stati criptati. L'università ha pagato circa 200.000 euro per la decrittazione.

2020: L'inizio dello sfruttamento Supply Chain

• Gennaio 2020 - Sfruttamento dell'FTA di Accellion: Cl0p ha sfruttato uno zero-day nella File Transfer Appliance (FTA) legacy di Accellion, implementando la shell web DEWMODE per rubare i dati. Tra le vittime figurano Jones Day, Kroger, Qualys e Singtel. La campagna ha introdotto il modello di doppia estorsione di Cl0p, minacciando la pubblicazione dei dati rubati.
• Aprile 2020 - Prima fuga di dati pubblica: Vengono divulgati i dati rubati a un'azienda farmaceutica, segnando il primo caso di doppia estorsione pubblica di Cl0p. 2021: Espansione e azioni di contrasto
• Aprile 2021 - Exploit di SolarWinds: Cl0p ha sfruttato la CVE-2021-35211 nel software SolarWinds Serv-U, violando le reti e distribuendo payload ransomware.
• 16 giugno 2021 - Arresti delle forze dell'ordine: Le autorità ucraine, con il supporto di Stati Uniti e Corea del Sud, arrestano sei persone legate alle operazioni di riciclaggio di denaro di Cl0p. Le autorità hanno sequestrato computer e veicoli di lusso e hanno richiesto oltre 500 milioni di dollari di estorsione. I ricercatori hanno notato che gli arresti non hanno catturato gli sviluppatori principali di Cl0p. In seguito a ciò, il sito di leak di Cl0p è rimasto silente per diversi mesi.

2022: Reinvenzione attraverso nuovi vettori di infezione

• Fine 2022 - Infezioni da Raspberry Robin: Microsoft ha riferito che gli affiliati di Cl0p hanno sfruttato il worm Raspberry Robin per l'accesso iniziale, riflettendo l'integrazione del gruppo con ecosistemi malware più ampi. 2023: Campagne di sfruttamento su scala globale
• Gennaio 2023 - Campagna GoAnywhere MFT: Cl0p ha sfruttato uno zero-day in GoAnywhere MFT di Fortra, distribuendo la shell web LEMURLOOT e rubando dati da circa 130 organizzazioni, tra cui Rubrik e la Città di Toronto.
• Marzo 2023 - Sfruttamento di PaperCut: La CVE-2023-27350 nel software di stampa PaperCut è stata sfruttata per fornire payload Cl0p e LockBit attraverso il downloader Truebot.
• Maggio-giugno 2023 - MOVEit Transfer zero-day: Cl0p ha sfruttato la CVE-2023-34362 in MOVEit Transfer con la backdoor LEMURLOOT, colpendo migliaia di organizzazioni tra cui agenzie federali statunitensi, BBC, Johns Hopkins University, Zellis ed Ernst & Young. Il CISA ha stimato più di 3.000 vittime negli Stati Uniti e 8.000 a livello globale.

2024: Spostamento tattico verso l'estorsione di soli dati

• Dicembre 2024 - Sfruttamento del trasferimento di file Cleo: Dopo una relativa tranquillità dopo MOVEit, Cl0p ha sfruttato CVE-2024-50623 e CVE-2024-55956 in Cleo LexiCom, VLTrader e Harmony. Servendo più di 4.200 clienti, Cleo aveva ~390 sistemi esposti. Cl0p ha mietuto oltre 60 vittime, inizialmente con il nome di Blue Yonder. Questo ha segnato un cambiamento verso l'estorsione senza crittografia, concentrandosi sul furto di dati.

2025: Nuove campagne e incertezza di attribuzione

• 29 settembre 2025 - Campagna di estorsione di Oracle E-Business Suite: Gli aggressori hanno inviato e-mail di estorsione ai clienti di Oracle EBS e hanno sfruttato CVE-2025-61882 affermando di essere affiliati a Cl0p. Alcuni dati di contatto corrispondono al sito di Cl0p, ma l'attribuzione è stata contestata. I nomi dei file incorporati negli indicatori di compromissione di Oracle fanno riferimento a "scattered_lapsus_retard_cl0p_hunters", una frase che compare sia nel codice proof-of-concept trapelato che nei messaggi di defacement. Questo tag riflette probabilmente la rivalità tra gruppi o l'impersonificazione di attori legati a Scattered Spider, Lapsus$, ShinyHunters e Cl0p, piuttosto che una singola campagna coordinata. Illustra la crescente sovrapposizione tra i gruppi di ransomware e gli attori dell'estorsione dei dati che si scambiano gli exploit e utilizzano le prese in giro pubbliche per manipolare l'attribuzione.

L'evoluzione delle tattiche e dei cambiamenti tecnici di Cl0p

Le ultime campagne di Cl0p mostrano un perfezionamento in diverse aree:

• Sfruttamento più rapido delle vulnerabilità nei prodotti dei fornitori, che suggerisce l'accesso a ricerche avanzate sulle vulnerabilità o a conoscenze interne.
• Esfiltrazione dei dati più furtiva, con evidenza del traffico in uscita crittografato progettato per eludere i tradizionali strumenti di prevenzione della perdita di dati (DLP).
• Un'individuazione più selettiva dei file e dei database sensibili, che consente una più rapida leva di estorsione.

Difendersi dal Cl0p: Prevenzione e rilevamento

Impedire l'accesso iniziale

Le campagne di Cl0p sfruttano costantemente le debolezze del software MFT (Managed File Transfer) e di altre applicazioni rivolte a Internet. Per ridurre la probabilità di compromissione:

• Mantenere cicli di patch rigorosi: Applicarerapidamente gliaggiornamenti di sicurezza, soprattutto per le soluzioni MFT come MOVEit, GoAnywhere, Accellion e Cleo. Monitorare il catalogo delle vulnerabilità sfruttate (Known Exploited Vulnerabilities, KEV) degli Stati Uniti per gli avvisi di patch obbligatori.
• Ridurre la superficie di attacco: Segmentare o limitare l'accesso esterno ai sistemi di trasferimento dei file. Ove possibile, limitare l'accesso ai canali VPN o zero trust Network Access) invece di esporre i servizi direttamente a Internet.
• Implementare i controlli phishing : Sebbene Cl0p sfrutti principalmente i software, anche lo phishing fa parte del suo kit di strumenti. Il filtraggio delle e-mail a più livelli, l'MFA e la consapevolezza della sicurezza riducono i rischi.
• Gestione dei fornitori e della catena di fornitura: Valutare l'uso di strumenti MFT da parte di terzi. Richiedere ai partner di seguire pratiche rigorose di patching e monitoraggio, poiché lo sfruttamento di Cl0p spesso si diffonde a cascata negli ambienti collegati.

Rilevare e rispondere alle intrusioni di Cl0p

Anche le organizzazioni ben difese devono affrontare sfide contro lo sfruttamento zero-day . Se Cl0p ottiene l'accesso, il rilevamento tempestivo è fondamentale prima che il furto di dati o l'estorsione si intensifichino. I team di sicurezza devono concentrarsi sui comportamenti che rivelano una compromissione in corso:

• Abuso di credenziali: Cercate un uso anomalo degli account amministrativi, ripetuti fallimenti dell'autenticazione e movimenti laterali RDP/SMB.
• Stabilizzazione ed esfiltrazione dei dati: Monitorare i trasferimenti in uscita di grandi dimensioni, il traffico in uscita crittografato su porte insolite e gli archivi compressi che compaiono nelle directory degli utenti.
• Persistenza ed escalation dei privilegi: Osservare le shell web sui server applicativi, le attività insolite di PowerShell o gli strumenti noti come Mimikatz in memoria.

Come Vectra AI supporta la difesa

La Vectra AI Platform rafforza le difese in entrambe le fasi del ciclo di vita degli attacchi:

• Dopo lo sfruttamento zero-day : Anche se una vulnerabilità viene sfruttata prima che sia disponibile una patch, Vectra AI è in grado di rilevare movimenti anomali di dati e l'escalation di privilegi che gli strumenti tradizionali basati sulle firme non rilevano. Ciò consente ai team SOC di rispondere prima che Cl0p possa criptare i file o rilasciare i dati rubati.
• Prima dell'esecuzione del ransomware: Monitorando l'uso improprio dell'identità, i movimenti laterali e i modelli di esfiltrazione negli ambienti di rete, cloud e identità, Vectra AI rileva i comportamenti che indicano un'attività Cl0p in corso.
• Visibilità senza agenti: La copertura non dipende dagli agenti endpoint , il che è essenziale negli scenari in cui i sistemi MFT o gli ambienti collegati ai partner non sono strumentati con l'EDR.

Indipendentemente dal fatto che l'exploit di Oracle sia stato guidato da Cl0p o da Scattered Lapsus Hunters, la campagna sottolinea che anche una patch rigorosa non può eliminare completamente il rischio di sfruttamento zero-day . Il rilevamento rapido e il contenimento dopo l'accesso iniziale sono essenziali. Il rafforzamento dei controlli della catena di approvvigionamento e l'adozione di un rilevamento e di una risposta basati sul comportamento sono fondamentali per ridurre al minimo l'impatto di queste operazioni di minaccia in evoluzione.

Per vedere da vicino come la Vectra AI Platform supporta questo approccio, esplorate oggi stesso una demo autoguidata della piattaforma.