Cl0p
Cl0p è uno dei gruppi ransomware più distruttivi dell'ultimo decennio, noto per lo sfruttamento massiccio delle vulnerabilità nel trasferimento dei file, le campagne di estorsione su scala globale e il continuo adattamento nonostante i ripetuti interventi delle forze dell'ordine.
L'origine di Cl0p
Cl0p è un gruppo di criminali informatici motivati da ragioni finanziarie, osservato per la prima volta nel 2019, che opera come variante di ransomware all'interno del più ampio sindacato criminale informatico TA505. Il gruppo si è rapidamente distinto adottando un modello di doppia estorsione, crittografando i file e sottraendo dati sensibili per ottenere un ulteriore vantaggio. Nel corso del tempo, Cl0p si è evoluto fino a diventare una delle operazioni di ransomware-as-a-service (RaaS) più attive e distruttive, prendendo di mira organizzazioni di tutti i settori in tutto il mondo.
Il gruppo è associato ad attori di lingua russa e, secondo le informazioni dei servizi segreti, avrebbe legami con l'Europa orientale. Le sue operazioni si sono costantemente adattate alla pressione delle forze dell'ordine, dimostrando resilienza e sofisticatezza operativa.
Paesi presi di mira da Cl0p
Sono state segnalate vittime in Nord America, Europa e Asia-Pacifico. Gli Stati Uniti, la Corea del Sud, la Germania e il Regno Unito sono stati tra i paesi più colpiti, anche se Cl0p mantiene una presenza globale.
Settori presi di mira da Cl0p
Cl0p ha storicamente preso di mira i settori della finanza, della sanità, dell'istruzione, della pubblica amministrazione, dell'energia e della tecnologia. La scelta delle vittime privilegia le organizzazioni con operazioni critiche, aumentando la pressione per il pagamento del riscatto. In particolare, hanno sfruttato le debolezze della catena di fornitura del software per ottenere l'accesso a centinaia di aziende contemporaneamente.
Vittime note di Cl0p
Tra le vittime di alto profilo figurano Accellion, Shell, Qualys, Flagstar Bank e GoAnywhere MFT. Attraverso campagne di sfruttamento di massa, Cl0p è riuscito a colpire decine di aziende Fortune 500, nonché agenzie governative e università.
Il metodo di attacco di Cl0p
Cl0p è noto soprattutto per riuscire a penetrare nei sistemi di trasferimento file gestiti come Accellion FTA, GoAnywhere MFT e MOVEit Transfer sfruttando zero-day . Questi sistemi sono obiettivi allettanti perché sono ampiamente utilizzati in tutti i settori, spesso contengono dati sensibili e sono direttamente accessibili da Internet. È stato inoltre osservato che il gruppo utilizza phishing con allegati dannosi per ottenere credenziali valide, anche se lo sfruttamento su larga scala dei software aziendali rimane il loro metodo principale.
Una volta all'interno, gli operatori Cl0p agiscono rapidamente per assicurarsi un accesso privilegiato. Si affidano a strumenti come Mimikatz per estrarre le credenziali e possono sfruttare servizi Windows configurati in modo errato.
Gli account validi vengono quindi utilizzati per garantire la persistenza, consentendo loro di rimanere all'interno degli ambienti senza essere rilevati mentre preparano le fasi successive della loro operazione. Cl0p dimostra di conoscere gli strumenti di sicurezza aziendali. Tenta di disabilitare l'antivirus e endpoint , manipolare i log e utilizzare tecniche di offuscamento per nascondere la propria attività. Nelle campagne più recenti, è stato utilizzato il traffico di esfiltrazione crittografato per evitare di attivare i controlli di prevenzione della perdita di dati o di rilevamento delle intrusioni.
Raccoglie le credenziali dell'amministratore tramite keylogging, scraping della memoria e dumping delle credenziali.
Conduce ricognizioni interne per mappare i sistemi e identificare i dati sensibili.
Una volta ottenute credenziali valide, Cl0p utilizza tecniche quali l'abuso di RDP e PSExec per muoversi lateralmente. Prende di mira le condivisioni amministrative e sfrutta gli account di dominio per diffondersi rapidamente negli ambienti aziendali. Questa fase è fondamentale per identificare gli archivi di dati sensibili prima dell'esfiltrazione.
Si concentra principalmente sull'identificazione e l'esfiltrazione di documenti riservati, proprietà intellettuale e dati personali.
Il gruppo utilizza il payload del ransomware Cl0p per crittografare i file utilizzando una combinazione di crittografia AES e RSA, lasciando dietro di sé richieste di riscatto con istruzioni per la negoziazione.
Trasferisce i dati rubati a server esterni sotto il controllo del gruppo, spesso prima della crittografia.
La crittografia è solitamente riservata alla fase finale, assicurando che i dati sensibili siano già stati rubati. Le vittime che rifiutano di pagare rischiano la pubblicazione sul sito Cl0p^_- LEAKS, che funge sia da tattica di pressione che da strumento di reputazione per il gruppo.
Cl0p è noto soprattutto per riuscire a penetrare nei sistemi di trasferimento file gestiti come Accellion FTA, GoAnywhere MFT e MOVEit Transfer sfruttando zero-day . Questi sistemi sono obiettivi allettanti perché sono ampiamente utilizzati in tutti i settori, spesso contengono dati sensibili e sono direttamente accessibili da Internet. È stato inoltre osservato che il gruppo utilizza phishing con allegati dannosi per ottenere credenziali valide, anche se lo sfruttamento su larga scala dei software aziendali rimane il loro metodo principale.
Una volta all'interno, gli operatori Cl0p agiscono rapidamente per assicurarsi un accesso privilegiato. Si affidano a strumenti come Mimikatz per estrarre le credenziali e possono sfruttare servizi Windows configurati in modo errato.
Gli account validi vengono quindi utilizzati per garantire la persistenza, consentendo loro di rimanere all'interno degli ambienti senza essere rilevati mentre preparano le fasi successive della loro operazione. Cl0p dimostra di conoscere gli strumenti di sicurezza aziendali. Tenta di disabilitare l'antivirus e endpoint , manipolare i log e utilizzare tecniche di offuscamento per nascondere la propria attività. Nelle campagne più recenti, è stato utilizzato il traffico di esfiltrazione crittografato per evitare di attivare i controlli di prevenzione della perdita di dati o di rilevamento delle intrusioni.
Raccoglie le credenziali dell'amministratore tramite keylogging, scraping della memoria e dumping delle credenziali.
Conduce ricognizioni interne per mappare i sistemi e identificare i dati sensibili.
Una volta ottenute credenziali valide, Cl0p utilizza tecniche quali l'abuso di RDP e PSExec per muoversi lateralmente. Prende di mira le condivisioni amministrative e sfrutta gli account di dominio per diffondersi rapidamente negli ambienti aziendali. Questa fase è fondamentale per identificare gli archivi di dati sensibili prima dell'esfiltrazione.
Si concentra principalmente sull'identificazione e l'esfiltrazione di documenti riservati, proprietà intellettuale e dati personali.
Il gruppo utilizza il payload del ransomware Cl0p per crittografare i file utilizzando una combinazione di crittografia AES e RSA, lasciando dietro di sé richieste di riscatto con istruzioni per la negoziazione.
Trasferisce i dati rubati a server esterni sotto il controllo del gruppo, spesso prima della crittografia.
La crittografia è solitamente riservata alla fase finale, assicurando che i dati sensibili siano già stati rubati. Le vittime che rifiutano di pagare rischiano la pubblicazione sul sito Cl0p^_- LEAKS, che funge sia da tattica di pressione che da strumento di reputazione per il gruppo.
Le TTP di Cl0p
Come rilevare Cl0p con Vectra AI
Domande frequenti
Quando è stato identificato per la prima volta Cl0p?
Cl0p è stato visto per la prima volta nel 2019, associato a TA505.
Cosa rende Cl0p unico rispetto ad altri gruppi di ransomware?
Sono stati i primi a sfruttare su larga scala soluzioni di trasferimento file gestito, rendendo possibili campagne ransomware simili a quelle della catena di approvvigionamento.
Quali metodi di crittografia utilizza Cl0p?
Utilizza la crittografia ibrida AES + RSA per bloccare i file e garantire che la decrittografia richieda la loro chiave privata.
In che modo Cl0p ottiene l'accesso iniziale?
Sfruttano zero-day in dispositivi come Accellion FTA, MOVEit Transfer e GoAnywhere MFT, oltre al phishing.
Qual è stata la loro campagna più efficace?
La campagna Accellion FTA (2020-2021) e lo sfruttamento di massa MOVEit nel 2023 sono stati tra i più dannosi.
Sono state intraprese azioni legali contro Cl0p?
Sì. Nel 2021 e nel 2023, le forze dell'ordine ucraine hanno condotto raid e arresti di affiliati con il supporto di Europol e Interpol. Anche i sequestri di infrastrutture hanno temporaneamente interrotto le operazioni.
Come gestisce Cl0p le trattative per il riscatto?
Utilizzano portali di comunicazione anonimi, fissano scadenze rigide e minacciano di pubblicare dati sensibili sul loro sito di divulgazione.
Cl0p funziona come un RaaS?
Sì. Gli affiliati vengono reclutati per diffondere il malware, con accordi di partecipazione agli utili.
La Vectra AI è in grado di rilevare l'attività di Cl0p?
Sì. Analizzando i movimenti laterali, l'uso insolito delle credenziali e i modelli di esfiltrazione dei dati, la Vectra AI è in grado di individuare i primi indicatori prima che inizi la crittografia.
Qual è lo stato attuale di Cl0p al 2 ottobre 2025?
Cl0p rimane attivo nonostante le ripetute interruzioni. Le loro campagne si sono spostate verso zero-day degli strumenti di trasferimento file aziendali, mantenendo la loro reputazione di operatore ransomware ad alto impatto.