Cl0p
Cl0p è uno dei gruppi di ransomware più dirompenti dell'ultimo decennio, noto per lo sfruttamento su larga scala delle vulnerabilità relative al trasferimento di file, per le campagne di estorsione su scala globale e per la sua capacità di adattarsi incessantemente nonostante i ripetuti interventi delle forze dell'ordine.
L'origine di Cl0p
Cl0p è un gruppo di criminali informatici con motivazioni finanziarie, individuato per la prima volta nel 2019, che opera come variante di ransomware all’interno del più ampio consorzio criminale TA505. Il gruppo si è rapidamente distinto per l’adozione di un modello di doppia estorsione, che prevede la crittografia dei file e, al contempo, l’esfiltrazione di dati sensibili per ottenere un ulteriore vantaggio. Nel corso del tempo, Cl0p si è evoluto in una delle operazioni di ransomware-as-a-service (RaaS) più attive e distruttive, prendendo di mira organizzazioni di tutti i settori in tutto il mondo.
Il gruppo è collegato ad attori di lingua russa e, secondo le informazioni dei servizi di intelligence, avrebbe legami con l'Europa orientale. Le loro operazioni si sono costantemente adattate alla pressione esercitata dalle forze dell'ordine, dimostrando resilienza e sofisticatezza operativa.
Paesi presi di mira da Cl0p
Sono state segnalate vittime in Nord America, Europa e nella regione Asia-Pacifico. Stati Uniti, Corea del Sud, Germania e Regno Unito sono stati tra i paesi più colpiti, sebbene Cl0p abbia una presenza a livello globale.
Settori presi di mira da Cl0p
Cl0p ha storicamente preso di mira i settori della finanza, della sanità, dell'istruzione, della pubblica amministrazione, dell'energia e della tecnologia. La scelta delle vittime privilegia le organizzazioni con attività critiche, aumentando così la pressione esercitata dal riscatto. In particolare, il gruppo ha sfruttato le vulnerabilità della catena di approvvigionamento del software per ottenere accesso a centinaia di aziende contemporaneamente.
Le vittime note di Cl0p
Tra le vittime di alto profilo figurano Accellion, Shell, Qualys, Flagstar Bank e i clienti di GoAnywhere MFT. Attraverso campagne di attacco su larga scala, Cl0p è riuscito a colpire decine di aziende Fortune 500, oltre ad agenzie governative e università.
Il metodo di attacco di Cl0p
Cl0p è noto soprattutto per la sua capacità di infiltrarsi sfruttando zero-day presenti in sistemi di trasferimento file gestito quali Accellion FTA, GoAnywhere MFT e MOVEit Transfer. Questi sistemi rappresentano obiettivi appetibili poiché sono ampiamente utilizzati in diversi settori, spesso contengono dati sensibili e sono accessibili direttamente da Internet. È stato inoltre osservato che il gruppo ricorre a phishing con allegati dannosi per ottenere credenziali valide, sebbene lo sfruttamento su larga scala del software aziendale rimanga il suo metodo principale.
Una volta entrati, gli operatori di Cl0p agiscono rapidamente per ottenere un accesso privilegiato. Si avvalgono di strumenti come Mimikatz per estrarre le credenziali e possono sfruttare eventuali servizi Windows configurati in modo errato.
Gli account validi vengono quindi utilizzati per garantire la persistenza, consentendo loro di rimanere all'interno degli ambienti senza essere individuati mentre preparano le fasi successive della loro operazione. Cl0p dimostra di conoscere gli strumenti di sicurezza aziendali. I suoi autori tentano di disabilitare gli antivirus e endpoint , manipolano i log e utilizzano tecniche di offuscamento per nascondere la propria attività. Nelle campagne più recenti è stato impiegato traffico di esfiltrazione crittografato per evitare di attivare i controlli di prevenzione della perdita di dati o di rilevamento delle intrusioni.
Raccoglie le credenziali degli amministratori tramite keylogging, memory scraping e dumping delle credenziali.
Effettua attività di ricognizione interna per mappare i sistemi e individuare i dati sensibili.
Una volta ottenute credenziali valide, Cl0p ricorre a tecniche quali l'abuso di RDP e PSExec per muoversi lateralmente. Gli autori prendono di mira le condivisioni amministrative e sfruttano gli account di dominio per diffondersi rapidamente negli ambienti aziendali. Questa fase è fondamentale per identificare gli archivi di dati sensibili prima dell'esfiltrazione.
Si concentra in particolare sull'individuazione e l'esfiltrazione di documenti riservati, proprietà intellettuale e dati personali.
Il gruppo distribuisce il payload del ransomware Cl0p per crittografare i file utilizzando una combinazione di crittografia AES e RSA, lasciando note di riscatto con le istruzioni per la negoziazione.
Trasferisce i dati rubati su server esterni controllati dal gruppo, spesso prima della crittografia.
La crittografia viene solitamente riservata alla fase finale, quando è ormai certo che i dati sensibili siano già stati sottratti. Le vittime che si rifiutano di pagare rischiano la pubblicazione dei dati sul sito Cl0p^_- LEAKS, che funge sia da strumento di pressione che da mezzo per danneggiare la reputazione delle vittime.
Cl0p è noto soprattutto per la sua capacità di infiltrarsi sfruttando zero-day presenti in sistemi di trasferimento file gestito quali Accellion FTA, GoAnywhere MFT e MOVEit Transfer. Questi sistemi rappresentano obiettivi appetibili poiché sono ampiamente utilizzati in diversi settori, spesso contengono dati sensibili e sono accessibili direttamente da Internet. È stato inoltre osservato che il gruppo ricorre a phishing con allegati dannosi per ottenere credenziali valide, sebbene lo sfruttamento su larga scala del software aziendale rimanga il suo metodo principale.
Una volta entrati, gli operatori di Cl0p agiscono rapidamente per ottenere un accesso privilegiato. Si avvalgono di strumenti come Mimikatz per estrarre le credenziali e possono sfruttare eventuali servizi Windows configurati in modo errato.
Gli account validi vengono quindi utilizzati per garantire la persistenza, consentendo loro di rimanere all'interno degli ambienti senza essere individuati mentre preparano le fasi successive della loro operazione. Cl0p dimostra di conoscere gli strumenti di sicurezza aziendali. I suoi autori tentano di disabilitare gli antivirus e endpoint , manipolano i log e utilizzano tecniche di offuscamento per nascondere la propria attività. Nelle campagne più recenti è stato impiegato traffico di esfiltrazione crittografato per evitare di attivare i controlli di prevenzione della perdita di dati o di rilevamento delle intrusioni.
Raccoglie le credenziali degli amministratori tramite keylogging, memory scraping e dumping delle credenziali.
Effettua attività di ricognizione interna per mappare i sistemi e individuare i dati sensibili.
Una volta ottenute credenziali valide, Cl0p ricorre a tecniche quali l'abuso di RDP e PSExec per muoversi lateralmente. Gli autori prendono di mira le condivisioni amministrative e sfruttano gli account di dominio per diffondersi rapidamente negli ambienti aziendali. Questa fase è fondamentale per identificare gli archivi di dati sensibili prima dell'esfiltrazione.
Si concentra in particolare sull'individuazione e l'esfiltrazione di documenti riservati, proprietà intellettuale e dati personali.
Il gruppo distribuisce il payload del ransomware Cl0p per crittografare i file utilizzando una combinazione di crittografia AES e RSA, lasciando note di riscatto con le istruzioni per la negoziazione.
Trasferisce i dati rubati su server esterni controllati dal gruppo, spesso prima della crittografia.
La crittografia viene solitamente riservata alla fase finale, quando è ormai certo che i dati sensibili siano già stati sottratti. Le vittime che si rifiutano di pagare rischiano la pubblicazione dei dati sul sito Cl0p^_- LEAKS, che funge sia da strumento di pressione che da mezzo per danneggiare la reputazione delle vittime.
Le TTP di Cl0p
Come rilevare Cl0p con Vectra AI
Domande frequenti
Quando è stato individuato per la prima volta Cl0p?
Cl0p è stato individuato per la prima volta nel 2019, in associazione con TA505.
Cosa rende Cl0p unico rispetto ad altri gruppi di ransomware?
Sono stati i primi a sfruttare su larga scala soluzioni di trasferimento file controllato, rendendo possibili campagne di ransomware basate sulla catena di approvvigionamento.
Quali metodi di crittografia utilizza Cl0p?
Utilizza una crittografia ibrida AES + RSA per proteggere i file e garantire che la decrittografia richieda la chiave privata.
In che modo Cl0p ottiene l'accesso iniziale?
Sfruttano zero-day presenti in dispositivi quali Accellion FTA, MOVEit Transfer e GoAnywhere MFT, oltre a ricorrere phishing.
Qual è stata la loro campagna di maggiore impatto?
La campagna FTA di Accellion (2020-2021) e l'attacco su larga scala a MOVEit nel 2023 sono stati tra i più devastanti.
Sono state intraprese azioni di contrasto contro Cl0p?
Sì. Nel 2021 e nel 2023, le forze dell'ordine ucraine hanno condotto perquisizioni e arresti nei confronti di affiliati con il sostegno di Europol e Interpol. Anche i sequestri di infrastrutture hanno temporaneamente interrotto le operazioni.
In che modo Cl0p gestisce le trattative relative al riscatto?
Utilizzano portali di comunicazione anonimi, fissano scadenze rigide e minacciano di pubblicare dati sensibili sul loro sito dedicato alle fughe di notizie.
Cl0p opera come un RaaS?
Sì. Gli affiliati vengono reclutati per diffondere il malware, sulla base di accordi di partecipazione agli utili.
La Vectra AI è in grado di rilevare l'attività di Cl0p?
Sì. Analizzando i movimenti laterali, gli utilizzi anomali delle credenziali e i modelli di esfiltrazione dei dati, la Vectra AI è in grado di individuare indicatori precoci prima che abbia inizio la crittografia.
Qual è la situazione attuale di Cl0p al 2 ottobre 2025?
Cl0p continua a essere attivo nonostante i ripetuti tentativi di neutralizzarlo. Le sue campagne si sono orientate verso zero-day di vulnerabilitàzero-day negli strumenti aziendali di trasferimento file, confermando la sua reputazione di operatore di ransomware ad alto impatto.