Cl0p
Cl0p è uno dei gruppi di ransomware più dirompenti dell'ultimo decennio, noto per lo sfruttamento di massa delle vulnerabilità di trasferimento dei file, per le campagne di estorsione su scala globale e per l'inarrestabile adattamento nonostante i ripetuti interventi delle forze dell'ordine.
L'origine del Cl0p
Cl0p è un gruppo di criminali informatici a scopo finanziario osservato per la prima volta nel 2019, che opera come variante di ransomware all'interno del più ampio gruppo di criminali informatici TA505. Il gruppo si è rapidamente distinto per l'adozione di un doppio modello di estorsione, con la crittografia dei file e l'esfiltrazione dei dati sensibili per ottenere un ulteriore vantaggio. Nel corso del tempo, Cl0p si è evoluto in una delle operazioni di ransomware-as-a-service (RaaS) più attive e distruttive, prendendo di mira organizzazioni di tutto il mondo.
Il gruppo è associato ad attori di lingua russa e l'intelligence suggerisce legami con l'Europa orientale. Le loro operazioni si sono costantemente adattate alle pressioni delle forze dell'ordine, dimostrando resilienza e sofisticazione operativa.
Paesi presi di mira da Cl0p
Le vittime sono state segnalate in Nord America, Europa e Asia-Pacifico. Gli Stati Uniti, la Corea del Sud, la Germania e il Regno Unito sono stati tra i paesi più colpiti, anche se Cl0p ha un'impronta globale.
Industrie prese di mira da Cl0p
Cl0p ha storicamente preso di mira i settori finanziario, sanitario, educativo, governativo, energetico e tecnologico. La scelta delle vittime privilegia le organizzazioni con operazioni critiche, aumentando la pressione sul riscatto. In particolare, ha sfruttato le debolezze della catena di fornitura del software per ottenere l'accesso a centinaia di aziende contemporaneamente.
Vittime conosciute di Cl0p
Tra le vittime di alto profilo figurano Accellion, Shell, Qualys, Flagstar Bank e i clienti di GoAnywhere MFT. Attraverso campagne di sfruttamento di massa, Cl0p è riuscito a colpire decine di aziende Fortune 500, nonché agenzie governative e università.
Metodo di attacco di Cl0p
Cl0p è noto per essere entrato attraverso vulnerabilità zero-day in sistemi di trasferimento di file gestiti come Accellion FTA, GoAnywhere MFT e MOVEit Transfer. Questi sistemi sono bersagli interessanti perché sono ampiamente utilizzati in tutti i settori, spesso contengono dati sensibili e sono direttamente accessibili da Internet. Il gruppo è stato osservato anche utilizzare campagne phishing con allegati dannosi per ottenere credenziali valide, anche se lo sfruttamento su larga scala del software aziendale rimane il loro metodo principale.
Una volta entrati, gli operatori Cl0p si muovono rapidamente per assicurarsi l'accesso privilegiato. Si affidano a strumenti come Mimikatz per estrarre le credenziali e possono sfruttare servizi Windows mal configurati.
Gli account validi vengono quindi utilizzati per la persistenza, consentendo loro di rimanere all'interno degli ambienti senza essere scoperti mentre preparano le fasi successive della loro attività. Cl0p dimostra di conoscere gli strumenti di sicurezza aziendali. Tentano di disattivare l'antivirus e la protezione endpoint , manipolano i registri e utilizzano tecniche di offuscamento per nascondere la loro attività. Nelle campagne più recenti, il traffico di esfiltrazione criptato è stato utilizzato per evitare di attivare i controlli di prevenzione della perdita di dati o di rilevamento delle intrusioni.
Raccoglie le credenziali dell'amministratore tramite keylogging, memory scraping e credential dumping.
Conduce ricognizioni interne per mappare i sistemi e identificare i dati sensibili.
Con le credenziali valide in mano, Cl0p utilizza tecniche come l'abuso di RDP e PSExec per spostarsi lateralmente. Si rivolge alle condivisioni amministrative e sfrutta gli account di dominio per diffondersi rapidamente negli ambienti aziendali. Questa fase è fondamentale per identificare i depositi di dati sensibili prima dell'esfiltrazione.
Si concentra molto sull'identificazione e l'esfiltrazione di documenti riservati, proprietà intellettuale e dati personali.
Il gruppo utilizza il payload del ransomware Cl0p per criptare i file utilizzando una combinazione di crittografia AES e RSA, lasciando dietro di sé note di riscatto con istruzioni per la negoziazione.
Trasferisce i dati rubati su server esterni sotto il controllo del gruppo, spesso prima della crittografia.
La crittografia è solitamente riservata alla fase finale, per garantire che i dati sensibili siano già stati rubati. Le vittime che si rifiutano di pagare rischiano la pubblicazione sul sito Cl0p^_- LEAKS, che serve sia come tattica di pressione che come strumento di reputazione per il gruppo.
Cl0p è noto per essere entrato attraverso vulnerabilità zero-day in sistemi di trasferimento di file gestiti come Accellion FTA, GoAnywhere MFT e MOVEit Transfer. Questi sistemi sono bersagli interessanti perché sono ampiamente utilizzati in tutti i settori, spesso contengono dati sensibili e sono direttamente accessibili da Internet. Il gruppo è stato osservato anche utilizzare campagne phishing con allegati dannosi per ottenere credenziali valide, anche se lo sfruttamento su larga scala del software aziendale rimane il loro metodo principale.
Una volta entrati, gli operatori Cl0p si muovono rapidamente per assicurarsi l'accesso privilegiato. Si affidano a strumenti come Mimikatz per estrarre le credenziali e possono sfruttare servizi Windows mal configurati.
Gli account validi vengono quindi utilizzati per la persistenza, consentendo loro di rimanere all'interno degli ambienti senza essere scoperti mentre preparano le fasi successive della loro attività. Cl0p dimostra di conoscere gli strumenti di sicurezza aziendali. Tentano di disattivare l'antivirus e la protezione endpoint , manipolano i registri e utilizzano tecniche di offuscamento per nascondere la loro attività. Nelle campagne più recenti, il traffico di esfiltrazione criptato è stato utilizzato per evitare di attivare i controlli di prevenzione della perdita di dati o di rilevamento delle intrusioni.
Raccoglie le credenziali dell'amministratore tramite keylogging, memory scraping e credential dumping.
Conduce ricognizioni interne per mappare i sistemi e identificare i dati sensibili.
Con le credenziali valide in mano, Cl0p utilizza tecniche come l'abuso di RDP e PSExec per spostarsi lateralmente. Si rivolge alle condivisioni amministrative e sfrutta gli account di dominio per diffondersi rapidamente negli ambienti aziendali. Questa fase è fondamentale per identificare i depositi di dati sensibili prima dell'esfiltrazione.
Si concentra molto sull'identificazione e l'esfiltrazione di documenti riservati, proprietà intellettuale e dati personali.
Il gruppo utilizza il payload del ransomware Cl0p per criptare i file utilizzando una combinazione di crittografia AES e RSA, lasciando dietro di sé note di riscatto con istruzioni per la negoziazione.
Trasferisce i dati rubati su server esterni sotto il controllo del gruppo, spesso prima della crittografia.
La crittografia è solitamente riservata alla fase finale, per garantire che i dati sensibili siano già stati rubati. Le vittime che si rifiutano di pagare rischiano la pubblicazione sul sito Cl0p^_- LEAKS, che serve sia come tattica di pressione che come strumento di reputazione per il gruppo.
I TTP di Cl0p
Come rilevare Cl0p con Vectra AI
DOMANDE FREQUENTI
Quando è stato identificato per la prima volta il Cl0p?
Cl0p è stato visto per la prima volta nel 2019, associato a TA505.
Cosa rende Cl0p unico rispetto ad altri gruppi di ransomware?
Sono stati i pionieri dello sfruttamento su larga scala delle soluzioni di trasferimento gestito dei file, consentendo campagne ransomware di tipo supply chain.
Quali metodi di crittografia utilizza Cl0p?
Utilizza la crittografia ibrida AES + RSA per bloccare i file e garantire che la decodifica richieda la loro chiave privata.
Come fa Cl0p a ottenere l'accesso iniziale?
Sfruttano vulnerabilità zero-day in dispositivi come Accellion FTA, MOVEit Transfer e GoAnywhere MFT, oltre al phishing.
Qual è stata la campagna di maggior impatto?
La campagna Accellion FTA (2020-2021) e lo sfruttamento di massa MOVEit nel 2023 sono stati tra i più dannosi.
Ci sono state azioni di contrasto contro Cl0p?
Sì. Nel 2021 e 2023, le forze dell'ordine ucraine hanno condotto incursioni e arresti di affiliati con il supporto di Europol e Interpol. Anche i sequestri di infrastrutture hanno interrotto temporaneamente le operazioni.
Come gestisce Cl0p le trattative per il riscatto?
Utilizzano portali di comunicazione anonimi, fissano scadenze rigide e minacciano di pubblicare dati sensibili sul loro sito di fuga di notizie.
Cl0p opera come RaaS?
Sì. Gli affiliati vengono reclutati per diffondere il malware, con accordi di condivisione dei profitti.
La piattaforma Vectra AI di Vectra AI è in grado di rilevare l'attività di Cl0p?
Sì. Analizzando i movimenti laterali, l'uso insolito di credenziali e gli schemi di esfiltrazione dei dati, la piattaforma Vectra AI può far emergere indicatori precoci prima che inizi la crittografia.
Qual è lo stato attuale di Cl0p al 2 ottobre 2025?
Cl0p rimane attivo nonostante le ripetute interruzioni. Le sue campagne si sono spostate verso lo sfruttamentozero-day degli strumenti di trasferimento di file aziendali, mantenendo la sua reputazione di operatore di ransomware ad alto impatto.