Barracuda full logo

Cl0p ransomware: El invasor sucio que muerde mientras duermes

Temas:
16 may 2025
|
Christine Barry

La operación de ransomware Cl0p es una operación privada de ransomware dirigida por un grupo de ciberdelincuencia organizada conocido como TA505. La operación Cl0p es solo una de varias unidades de la empresa criminal TA505, y se cree que es la más rentable. Desde su aparición en 2019, Cl0p ha extorsionado más de 500 millones de dólares en pagos de rescate y ha afectado directamente a miles de organizaciones y a decenas de millones de individuos a nivel mundial. En el último trimestre de 2024, Cl0p superó a Akira y superó a RansomHub para convertirse en el grupo de ransomware más activo en el panorama. En el primer trimestre de 2025, Cl0p superó a LockBit como el grupo de ransomware más prolífico, basado en brechas divulgadas públicamente.

Los investigadores creen que el nombre de la marca proviene de la palabra rusa ‘клоп’, o ‘klop’, que se traduce como ‘chinche’ en inglés. Al igual que Rhysida, Medusa y BianLian, el nombre probablemente está destinado a transmitir las características adoptadas por el grupo. La mayoría de los analistas han dicho que la pequeña pero poderosa (y desagradable) chinche está destinada a representar sigilo y persistencia.

Cl0p también se estiliza como Clop o CLOP, pero el grupo a menudo se refiere a sí mismo con un cero (0) reemplazando la letra 'o'. Esta es una táctica de evasión de la vieja escuela para sortear los filtros de palabras clave que no reconocerían las similitudes entre Clop y Cl0p, y es un guiño a la práctica hacker de reemplazar letras con números y símbolos. Sin embargo, el grupo no parece estar demasiado comprometido con esto, porque también han usado sus notas de rescate usando CLOP^_, Clop, y C|0p

 

Extracto de la nota de rescate de Cl0p usando el estilo 'CLOP'

Extracto de la nota de rescate de Cl0p utilizando el estilo 'CLOP', a través de CISA

Fragmento de la nota de rescate de Cl0p usando el estilo CLOP^_

Extracto de la nota de rescate de Cl0p usando el estilo CLOP^_ , a través de Bleeping Computer

¿Quién es Cl0p?

Para responder a esta pregunta, comenzamos con la empresa cibercriminal conocida como TA505. Este es un grupo de habla rusa que ha estado activo desde 2014, llevando a cabo ataques con varias familias de malware, incluyendo Dridex y Locky. Aparte de Cl0p, las actividades criminales de TA505 incluyen corretaje de acceso inicial (IAB), phishing y distribución de malspam a gran escala, fraude financiero, y operaciones de botnet a gran escala.

La cepa de ransomware Cl0p surgió en 2019 y se cree que evolucionó a partir de CrypBoss y CryptoMix ransomware. Estas dos cepas emergieron en 2015 y 2016 y habían desaparecido en 2018. Algunos investigadores creen que Cl0p es un sucesor directo de CryptoMix, pero parece más probable que los operadores anteriores se dividieran en varios grupos diferentes de RaaS. Sea cual sea la historia de origen, el ransomware Cl0p ha perdurado y se ha adaptado, y ahora se considera el 'buque insignia' de las operaciones TA505. Es la herramienta de ataque más conocida en su arsenal y demuestra la sofisticación técnica del grupo y su adaptabilidad en los métodos de ataque. Cl0p ha infligido un daño significativo en todo el mundo a través de sus ataques de cadena de suministro de alto perfil.

Los investigadores ubicaron el ransomware TA505 y Cl0p en Rusia o la Comunidad de Estados Independientes (CEI). El ransomware Cl0p está específicamente programado para no ejecutarse en sistemas de idioma ruso, y las comunicaciones y comentarios de código del grupo contienen elementos de idioma ruso y referencias culturales. Se han rastreado servidores de comando y control e infraestructura de pago que se remontan a Rusia y Europa del Este.

Los actores de Cl0p también evitan atacar organizaciones objetivo dentro de Rusia y los estados exsoviéticos, y se ha observado que sus patrones de actividad están alineados con el horario laboral de las zonas horarias de Europa del Este.

A pesar del probable origen ruso, los actores de Cl0p dejan claro que no son hacktivistas ni están afiliados a ningún estado-nación. 

 

Los actores de Cl0p publican un comunicado negando su implicación en la política

Los actores de Cl0p publican una declaración negando su implicación en la política, a través de SOCRadar

Las notas de rescate de Cl0p también pueden enfatizar la motivación financiera del grupo: 

No queremos hacer esto público ni difundir su información confidencial, solo nos interesa el dinero.

No estamos interesados en discursos políticos, solo en dinero, y el dinero hará que esto termine.” ~via Ransomware.Live

Considerando estas declaraciones y la falta de evidencia en contrario, los investigadores creen que Cl0p está motivado por el lucro financiero y no tiene objetivos políticos.

Operaciones Cl0p

Cl0p es una operación privada de ransomware con un equipo principal que maneja la mayoría de los aspectos de sus campañas. En la mayoría de los ataques importantes, especialmente aquellos que involucran vulnerabilidades de día cero, el equipo principal TA505 mantiene el control de principio a fin. Para ciertas operaciones, Cl0p ha empleado selectivamente un modelo de afiliados, donde a socios de confianza se les concede el uso limitado de su código de ransomware a cambio de un porcentaje de los ingresos del rescate. Este puede ser el caso cuando Cl0p / TA505 tiene una operación específica en mente y el grupo necesita más ‘manos a la obra’ para realizar el trabajo.

Este enfoque flexible sitúa a Cl0p en algún lugar entre las operaciones puras de Ransomware-como-Servicio (RaaS) que dependen de afiliados y los grupos de ransomware privados que operan exclusivamente como equipos cerrados. Algunos investigadores y analistas de la industria se refieren a Cl0p como una operación de RaaS porque Cl0p utiliza afiliados según sea necesario.

Cl0p también se destaca por varias otras razones. El grupo se especializa en explotar vulnerabilidades de día cero previamente desconocidas, que han desplegado con éxito en varios ataques a la cadena de suministro. Utilizan tácticas de extorsión agresivas, incluyendo cifrado, exfiltración de datos, denegación de servicio distribuida (DDoS) y acoso a las partes interesadas. Este acoso implica contactar a los empleados, clientes, socios y medios afectados para presionar a la empresa violada a pagar.

¿Cómo funciona Cl0p?

Los métodos principales de distribución e infección de Cl0p han evolucionado desde ataques de phishing sofisticados hasta exploits avanzados de día cero. Las campañas de phishing utilizaban archivos adjuntos de correo electrónico maliciosos, enlaces a sitios comprometidos y una variedad de tácticas de ingeniería social. Se sabe que Cl0p utiliza datos robados de víctimas existentes para crear un mensaje convincente y una llamada a la acción. Esto hace que sus ataques sean más efectivos contra socios, clientes, proveedores y otros que puedan ofrecer una vía de acceso a la red del objetivo.

En los primeros años de Cl0p, las campañas de phishing dependían de archivos de Microsoft Excel y Word con macros habilitadas. Estos se entregaban a través de un archivo adjunto html que redirigía al usuario a los documentos, o se adjuntaban directamente al mensaje.

 

Correo electrónico de phishing de Cl0p que entrega un documento habilitado para macros

Correo electrónico de phishing de Cl0p temprano entregando un documento habilitado para macros, a través de Bleeping Computer

En dispositivos con macros habilitadas, el documento descargó las siguientes herramientas desde un servidor controlado por Cl0p:

  • Get2: Un cargador de malware, descargador o "malware de primera etapa". El propósito principal de Get2 es descargar y ejecutar otro software malicioso en el servidor de la víctima.
  • SDBot: Esta es una familia de troyanos de puerta trasera utilizados para acceso remoto y movimiento lateral. Microsoft tiene detalles sobre las variantes secundarias aquí.
  • FlawedAmmyy RAT: Un troyano de acceso remoto (RAT) utilizado para el robo de datos y la ejecución de comandos.
  • ServHelper: Una familia de malware que facilita el acceso remoto y las capacidades de puerta trasera. También trabaja para recolectar credenciales y establecer la persistencia de la amenaza en el sistema.

Cl0p también utilizará corredores de acceso inicial (IAB) para obtener acceso a organizaciones objetivo.

Cl0p encuentra oro con vulnerabilidades de día cero

Aunque Cl0p sigue realizando ataques de phishing, el ataque de día cero se ha convertido en el enfoque distintivo del grupo. Muchos grupos de ransomware explotan vulnerabilidades conocidas en sistemas no parcheados. Cl0p ha desarrollado y desplegado repetidamente exploits contra vulnerabilidades previamente desconocidas. Aquí están las más importantes:

Accellion FTA (diciembre de 2020): Este dispositivo de transferencia de archivos estaba cerca del final de su vida útil cuando se identificaron y explotaron varias vulnerabilidades por Cl0p. El ataque se lanzó el 23 de diciembre, justo antes de las vacaciones de Navidad en EE. UU. El grupo obtuvo acceso a aproximadamente 100 organizaciones que utilizaban Accellion FTA. Vulnerabilidades: CVE-2021-27101/27102/27103/27104

GoAnywhere MFT (enero de 2023): La solución de transferencia de archivos gestionada de Fortra estuvo bajo explotación activa durante dos semanas antes de que el proveedor se diera cuenta de la brecha. Cl0p pudo acceder a más de 130 empresas a través de este exploit. Vulnerabilidad: CVE-2023-0669

 

Cl0p nota de rescate haciendo referencia al software GoAnywhere MFT

Cl0p nota de rescate que hace referencia al software GoAnywhere MFT, a través de CISA

MOVEit Transfer (mayo de 2023): Cl0p explotó otro proveedor de servicios de sistema de transferencia de archivos a finales de mayo de 2023, durante el feriado del Día de los Caídos en EE. UU. La vulnerabilidad existía tanto en las versiones en la nube como en las locales de MOVEit, y Cl0p pudo acceder a miles de empresas, afectando a millones de personas. Puedes ver un diagrama de este ataque a la cadena de suministro aquí. Vulnerabilidad: CVE-2023-34362

 

Publicación en el sitio de fugas de Cl0p haciendo referencia al software Progress MOVEit

Publicación en el sitio de filtraciones de Cl0p haciendo referencia al software Progress MOVEit, a través de ZeroFox Intelligence

Software Cleo (2024-2025): Cl0p está explotando activamente dos vulnerabilidades en tres productos de Software Cleo:

  • Cleo LexiCom: Un cliente de escritorio para transferencias de archivos seguras, normalmente utilizado para intercambiar documentos sensibles con proveedores, clientes y otros socios comerciales.
  • Cleo VLTrader: Software de transferencia de archivos gestionada (MFT) basado en servidor que admite múltiples protocolos para flujos de trabajo automatizados.
  • Cleo Harmony: Una plataforma de nivel empresarial que se integra con soluciones de planificación de recursos empresariales (ERP) como SAP y Salesforce.

Ambas vulnerabilidades se utilizaron para establecer puertas traseras y robar datos de los clientes de Cleo. Este ataque está en curso desde mayo de 2025. Vulnerabilidades: CVE-2024- 50623 /55956.

 

Extracto de la nota de rescate de Cl0p que hace referencia al software Cleo

Extracto de la nota de rescate de Cl0p haciendo referencia a Cleo Software, Ransomware.Live

Estos cuatro ataques a la cadena de suministro dieron a Cl0p acceso a miles de víctimas, y la rapidez de cada ataque fue importante. La mayoría de los proveedores lanzaron rápidamente un parche y se comunicaron con los clientes, por lo que la ventana de oportunidad para Cl0p se reducía con cada hora. En lugar de tomarse el tiempo adicional para encriptar los datos, Cl0p se centró en robar datos y utilizar esto y, a veces, otros tipos de extorsión.

Debido a que la velocidad era tan importante en estos ataques, Cl0p recurría a afiliados para ayudar en la exfiltración de datos, y aquí es donde entra en juego el modelo híbrido RaaS. El equipo central de Cl0p no tenía la capacidad de atacar a todas las posibles víctimas de inmediato, y los afiliados pueden proporcionar un porcentaje de los rescates de un grupo más grande de víctimas.

Los investigadores también han notado patrones en la sincronización de los ataques de Cl0p. Los correos electrónicos de phishing se envían durante las horas de trabajo comunes en la región objetivo, para así capturar el mayor número de víctimas mientras están en el escritorio. Cl0p atacará vulnerabilidades durante las horas no laborables o los días festivos prolongados, cuando el personal de TI puede estar reducido o no disponible.

Más allá del acceso inicial, la cadena de ataque de Cl0p procede de esta manera:

  • Movimiento lateral: Cl0p explora la red con herramientas como Mimikatz, PsExec, y Cobalt Strike.
  • Evasión y persistencia: Cl0p desactiva Windows Defender y los procesos de respaldo, y utiliza ofuscación de código para ocultar indicadores de intención maliciosa.
  • Exfiltración de datos: Robar datos sensibles utilizando herramientas personalizadas como la herramienta de exfiltración Teleport.
  • Encriptación: Si los archivos están encriptados, se renombran con extensiones clop, CIIp, C_L_O_P, o una variación similar.

 

Cl0p cifró archivos en un escritorio

Cl0p cifró archivos en un escritorio, a través de HowToRemove.Guide.

Los mensajes de rescate suelen llamarse `Cl0pReadMe.txt` o `README_README.txt`. La información de las víctimas se publica luego en el sitio de filtraciones de Cl0p.

 

Sitio de filtraciones de Cl0p

Cl0p sitio de filtraciones, a través de Bleeping Computer

Cuando no hay cifrado, Cl0p procede con una o más tácticas de extorsión. Esto podría ser filtraciones de datos, ataques DDoS o acoso a las víctimas. Cuando las negociaciones de rescate fallan, Cl0p pone los datos disponibles para su descarga.

 

Cl0p filtra datos de ExecuPharm a través de su sitio de filtraciones

Cl0p filtra datos de ExecuPharm a través de su sitio de filtraciones, vía Bleeping Computer

Cl0p ocupa consistentemente un lugar entre las amenazas de ransomware más dañinas y adaptativas en el panorama cibernético. Tiene las habilidades técnicas para desplegar exploits rápidamente y escalar operaciones según sea necesario. También forma parte de un grupo más grande, TA505, que opera una variedad de operaciones de ciberdelito que pueden aprovecharse bajo demanda. La resiliencia, la innovación técnica y el acceso a muchos recursos diferentes hacen de Cl0p una amenaza seria para todas las empresas.

Protegerse

Seguir las mejores prácticas y utilizar múltiples capas de seguridad mitigará los riesgos. Mantente alerta y aplica rápidamente los parches de seguridad, especialmente para todas las soluciones de transferencia de archivos y otros software de la cadena de suministro. Soluciones como Barracuda Managed XDR pueden detectar estos ataques y prevenir la encriptación y el robo de tus datos.

 

 

 

Christine Barry

Christine Barry, narradora principal de historias sobre ciberseguridad y gestora de contenidos en Barracuda. Antes de unirse a Barracuda, Christine fue ingeniera de campo y gestora de proyectos para clientes de K12 y PYMES durante más de 15 años. Posee varias credenciales en tecnología y gestión de proyectos, una licenciatura en Artes y un Máster en Administración de Empresas. Es graduada de la Universidad de Míchigan.

Conéctate con Christine en LinkedIn aquí.

 

¡Únete a nuestra comunidad de Reddit!

Publicaciones relacionadas:
Radar de amenazas de correo electrónico – Junio de 2025
Radar de amenazas de correo electrónico – Junio de 2025
 Nuevo asistente de incorporación más sencillo para Barracuda Email Protection
Nuevo asistente de incorporación más sencillo para Barracuda Email Protection
 Los archivos del caso SOC: una banda de ransomware armada con Python resurge para enfrentarse a un muro de defensas XDR
Los archivos del caso SOC: una banda de ransomware armada con Python resurge para enfrentarse a un muro de defensas XDR
 Radar de amenazas del SOC — mayo de 2025
Radar de amenazas del SOC — mayo de 2025
Search the blog

Subscribe to the Barracuda Blog.

Sign up to receive threat spotlights, industry commentary, and more.

Sign up to receive threat spotlights, industry commentary, and more.

Get all the latest news, research, and analysis delivered right to your inbox.