Clop Ransomware, todo lo que debes saber

Clop es una variante de ransomware de la familia CryptoMix que se cree que se desarrolló en Rusia. Se dirige a víctimas en los Estados Unidos, Canadá, América Latina, Asia Pacífico y Europa. El mes pasado, las autoridades encargadas de hacer cumplir la ley en un grupo de trabajo conjunto de Ucrania, Corea del Sur y EE. UU. arrestaron y acusaron a seis sospechosos que se creen que son miembros de la pandilla de actores de amenazas Clop.

Esta amenaza fue el primer ransomware que exigió un pago de más de 20 millones de dólares cuando infectó a Software AG, la segunda empresa de software empresarial más grande de Alemania, en octubre de 2020. Clop sigue estando vinculado a una serie de ataques de alto perfil, como los de la empresa de intercambio de archivos en la nube empresarial Accellion y sus clientes, incluida la empresa de banca de inversión Morgan Stanley.

Incluso después de los arrestos destacados, este grupo de ransomware continúa filtrando información confidencial obtenida de nuevas víctimas. Esto significa que es probable que las personas arrestadas no sucedan figuras clave en las operaciones del malware.

En este artículo analizamos qué es Clop Ransomware, cómo funciona, sus efectos y cómo protegernos frente a este ransomware.

¿Qué es Clop ransomware?

Clop (a veces estilizado como «Cl0p») ha sido una de las familias de ransomware más prolíficas en los últimos tres años. Se ha ganado la infamia por comprometer a organizaciones de alto perfil en varias industrias en todo el mundo utilizando técnicas de extorsión multinivel que dieron como resultado enormes pagos estimados en US $ 500 millones a noviembre de 2021. En esfuerzos concertados para desmantelar los cárteles de ransomware, una coalición global en los cinco continentes que involucró a las fuerzas del orden y socios privados condujo al arresto en Ucrania de seis presuntos miembros de Clop en junio de 2021.

Si bien los arrestos en Ucrania podrían haber asestado un gran golpe a las operaciones de Clop, las actividades delictivas del grupo no han disminuido: nuestras detecciones de intentos de ataque mostraron actividades maliciosas continuas desde enero de 2021 hasta enero de 2022. Los informes mencionan que solo partes de las operaciones del ransomware, como la infraestructura del servidor utilizado por los afiliados para difundir el malware y los canales utilizados para lavar los pagos de rescate en criptomonedas que se obtuvieron ilegalmente, fueron incautados y eliminados, respectivamente.

A medida que las empresas reflexionan sobre las formas de reforzar sus defensas de seguridad en la era posterior a la pandemia, aprender más sobre las amenazas potenciales es esencial para adoptar un enfoque proactivo de ciberseguridad.

Historia

Clop evolucionó como una variante de la familia de ransomware CryptoMix. En febrero de 2019, los investigadores de seguridad necesitan el uso de Clop por parte del grupo de amenazas conocidas como TA505 cuando lanzaron una campaña de correo electrónico de phishing selectiva a gran escala. Clop es un ejemplo de ransomware como servicio (RaaS) operado por un grupo de habla rusa. Además, este ransomware usaba un binario verificado y firmado digitalmente, lo que lo hacía parecer un archivo ejecutable legítimo que podía evadir la detección de seguridad.

En 2020, se informó que FIN11, un grupo de piratería con motivación financiera, implementó el ransomware Clop y amenazó a sus víctimas con publicar los datos extraídos. FIN11 aprovechó las vulnerabilidades de día cero en el dispositivo de transferencia de archivos heredado (FTA) de Kiteworks (anteriormente conocido como Accellion) para infiltrarse en la red de las víctimas. Luego, su objetivo era entregar el ransomware Clop como su carga útil y robar datos también. Los investigadores también vieron que el grupo usó un shell web específico que se denominó «DEWMODE» para filtrar la información robada de sus víctimas.

Los investigadores encontraron dos grupos de actores maliciosos que tienen conexiones conocidas con FIN11 y los identificaron como UNCA2546 y UNCA2582. Estos también fueron los grupos responsables de los ataques masivos a los usuarios de Kiteworks.

Los operadores detrás de Clop hicieron su primer intento de usar el esquema de doble extorsión en abril de 2020 cuando publicaron los datos de una compañía farmacéutica en su sitio de fuga. El sitio de filtraciones dedicado de Clop alberga su lista de víctimas, que ha surgido desde su lanzamiento. Con el tiempo, las tácticas de extorsión de la pandilla se han vuelto más impactantes y, por lo tanto, más destructivas.

En noviembre de 2021, los investigadores de seguridad detectaron actividad maliciosa por parte de los operadores de Clop que explotaron una vulnerabilidad de SolarWinds Serv-U para violar las redes corporativas y entregar el ransomware Clop como carga útil. La vulnerabilidad de Serv-U Managed File Transfer y Serv-U Secure FTP Remote Code Execution (RCE), rastreada como CVE-2021-35211 , ayudó a RCE en el servidor vulnerable con privilegios elevados.

Un gigante de los servicios marítimos con sede en Singapur también cayó presa de Clop. En noviembre de 2021, se informó que Clop violó sus sistemas de TI para robar información comercial patentada y datos de empleados que clasificaron detalles de cuentas bancarias, información de nómina, pasaportes, direcciones de correo electrónico y correspondencia interna, entre otros.

¿Cómo funciona?

Clop ransomware es una variante de una cepa previamente conocida llamada CryptoMix. En 2019, Clop se entregó como la carga útil final de una campaña de phishing asociada con el actor financiero TA505. Los actores de amenazas enviarían correos electrónicos de phishing que conducirían un documento habilitado para macros que soltarían un cargador llamado Get2. Este cargador puede descargar diferentes herramientas utilizadas por este grupo, como SDBot, FlawedAmmy o FlawedGrace. Una vez que los actores de amenazas obtienen el punto de apoyo inicial en el sistema, comienzan a emplear técnicas de reconocimiento, movimiento lateral y exfiltración para preparar la implementación del ransomware. Se ha observado que SDBot entrega Clop como carga útil final.

El ransomware Clop agrega la extensión «.ClOP» («Clop» escrito con una «L» minúscula) a los archivos que encripta. Los investigadores también vieron que Clop apunta a toda la red de la víctima en lugar de solo a las computadoras individuales. Esto es posible pirateando el servidor de Active Directory (AD) antes de la infección de ransomware para determinar la política de grupo del sistema. Esto permite que el ransomware persista en los puntos finales incluso después de que los respondedores de incidentes ya los hayan limpiado.

Los ataques anteriores del grupo TA505 vieron la entrega del malware Clop como la etapa final de su carga útil en campañas masivas de phishing. Los actores maliciosos enviarían correos electrónicos no deseados con archivos adjuntos HTML que redirigirían a los destinatarios a un documento habilitado para macros, como un archivo XLS que se usa para colocar un cargador llamado Get2. Este cargador facilita la descarga de varias herramientas como SDBOT, FlawedAmmyy y Cobalt Strike. Una vez que los actores maliciosos se meten en el sistema, proceden al reconocimiento, el movimiento lateral y la exfiltración para preparar el escenario para el uso del ransomware Clop.

Los operadores detrás de Clop coaccionan a sus víctimas mediante el envío de correos electrónicos en un intento de negociar. También recurren a amenazas más graves, como publicar y subastar la información robada en su sitio de fuga de datos «Cl0p^_-Leaks» si se ignoran sus mensajes. También han llegado al extremo de utilizar técnicas de cuádruple extorsión, que han implicado perseguir a altos ejecutivos y clientes para presionar a las empresas para que paguen el rescate.

Habiéndose establecido bien en el mundo del cibercrimen, la banda de ransomware Clop se considera pionera en sus tácticas, técnicas y procedimientos (TTP) en constante cambio. De hecho, las hazañas de FTA de Kiteworks del grupo ocasionaron una nueva tendencia, ya que aumentaron significativamente los pagos de rescate promedio para el primer trimestre de 2021. Un informe reveló que los pagos promedio de ransomware aumentaron significativamente a US $ 220,298, lo que representa un aumento del 43%. También dijo que el pago medio del rescate aumentó con aumentado a 78 398 USD desde 49 459 USD, lo que se traduce en un aumento del 60 %.

Principales países e industrias afectadas

Analizamos aquí los datos  sobre las detecciones de intentos de Clop de dañar a las organizaciones. Nuestras detecciones revelan que EE. UU. tuvo el mayor número de intentos de ataque con 2214, seguido de España en un distante segundo lugar con 505 intentos. El resto de las detecciones se distribuyen en América del Norte, América del Sur, Asia Pacífico, Europa y Medio Oriente.

Mientras que otros operadores RaaS conocidos afirman evitar el sector de la salud como objetivo por consideración humanitaria, nuestras detecciones revelan que este no es el caso de Clop, ya que este sector recibió el mayor número de detecciones con 959, seguido por la industria financiera con 150.

Al desglosar las detecciones por mes, podemos determinar que 2021 vio el pico de ataques Clop en junio del mismo año con 784 intentos de ataque. Marzo también vio un fuerte aumento en los intentos de 663, que fue significativamente más alto que las detecciones en meses anteriores. Nuestras detecciones sugieren operaciones que las de Clop se han mantenido sólidas, ya que los números oscilaron constantemente en el rango de 300 a 400 desde julio de 2021 hasta enero de 2022.

También investigamos el sitio de fugas de Clop para obtener información sobre los ataques exitosos de los operadores desde el 16 de diciembre de 2021 hasta el 15 de enero de 2022. Durante este período, solo dos organizaciones, ambas pequeñas empresas, fueron comprometidas con éxito por los operadores de Clop. Una organización pertenece al sector legal, mientras que la otra pertenece al sector de la moda y la indumentaria. Ambas organizaciones tienen su sede en América del Norte y, como se descartaron en el período mencionado, aún no han pagado el rescate.

Cadena de infeccion y tecnica

El ransomware Clop que TA505 distribuyó por primera vez eludió la detección mediante el uso de un binario firmado y verificado digitalmente para que pareciera un archivo ejecutable legítimo. El grupo lanzó un gran volumen de correos electrónicos de spear-phishing que se envió a los empleados de una organización para desencadenar el proceso de infección.

En enero de 2020, TA505 cambió el flujo de infección al usar SDBOT solo para recopilar y filtrar datos al servidor de comando y control (C&C;).

Acceso inicial

Los actores de amenazas detrás del ransomware Clop utilizan una red establecida de afiliados para obtener acceso inicial y enviar un gran volumen de correos electrónicos de phishing dirigido a los empleados de una organización para inducir la infección. Los actores malintencionados utilizan un RDP comprometido para penetrar en el sistema, ya sea intentando obtener contraseñas de fuerza bruta o explotando algunas vulnerabilidades conocidas. Los siguientes son los exploits de día cero de Kiteworks FTA que utilizaron a principios de 2021:

  • CVE-2021-27101: inyección SQL a través de un encabezado de host diseñado.
  • CVE-2021-27102: ejecución de comandos del sistema operativo a través de una llamada de servicio web local.
  • CVE-2021-27103: SSRF a través de una solicitud POST diseñada.
  • CVE-2021-27104: ejecución de comandos del sistema operativo a través de una solicitud POST diseñada.

Se informó que el grupo de ransomware explotó la vulnerabilidad del producto SolarWinds Serv-U etiquetado como CVE-2021-35211.

Descubrimiento

El kit de herramientas de ransomware de Clop contenía varios tipos de malware para recopilar información:

  • El troyano de acceso remoto (RAT) FlawedAmmyy recopila información e intenta comunicarse con el C&C; servidor para habilitar la descarga de componentes de malware adicionales.
  • Después de atravesar el servidor AD, descargará una herramienta de piratería adicional, Cobalt Strike.
  • SDBOT, otra RAT, propaga la infección de muchas maneras, incluida la explotación de vulnerabilidades y la colocación de copias de sí mismo en unidades extraíbles y recursos compartidos de red. También es capaz de propagarse cuando se comparte a través de redes peer-to-peer (P2P). Los actores maliciosos usan SDBOT como una puerta trasera para permitir que se ejecuten otros comandos y funciones en la computadora comprometida.

Movimiento lateral, descubrimiento y evasión de defensa

En esta etapa, el malware busca la información del grupo de trabajo de la máquina para distinguir las máquinas personales de las empresas. Si el grupo de trabajo es el valor predeterminado, el malware detendrá el comportamiento malicioso y se eliminará. Si se devuelve el dominio del servidor AD, una máquina se clasifica como una máquina corporativa.

El malware intenta piratear el servidor AD utilizando las vulnerabilidades del bloque de mensajes del servidor (SMB) y utilizando la herramienta de piratería descargada adicionalmente Cobalt Strike. Cobalt Strike es una herramienta conocida para la explotación posterior que se ha conectado previamente a otras familias de ransomware. Mientras tanto, TinyMetse utiliza para conectar la carcasa inversa al C&C; servidor. La cuenta de administrador del servidor AD se utiliza para propagar el ransomware Clop a las máquinas de la red interna. En cuanto a SDBOT, utiliza el shimming de aplicaciones para preservar la continuidad del ataque y evitar la detección.

Exfiltración

Se descubrió que un ataque usó DEWMODE para exfiltrar datos robados.

Impacto

La carga útil del ransomware que finaliza varios servicios y procesos de Windows continúa con su rutina de cifrado.

¿Cómo protegernos?

A pesar de los arrestos del año pasado de presuntos miembros del cartel de ransomware Clop en Ucrania, nuestras detecciones de este ransomware siguen indicando que el grupo es una amenaza potencial y podría atacar en cualquier momento. Además, se sabe que los operadores detrás de Clop cambian periódicamente sus TTP. Por lo tanto, es mejor mantenerse alerta y saber que los operadores de ransomware siempre están esperando la oportunidad de abalanzarse sobre su próxima víctima.

Para proteger los sistemas pueden contra amenazas similares, las organizaciones establecen marcos de seguridad que asignan recursos sistemáticamente para establecer una sólida estrategia de defensa contra el ransomware.

Estas son algunas de las mejores prácticas que las organizaciones pueden considerar:

Auditoría e inventario

  • Realizar un inventario de los activos y los datos.
  • Identificar dispositivos y software autorizados y no autorizados.
  • Realizar una auditoría de los registros de eventos e incidentes.

Configurar y monitorizar

  • Administrar configuraciones de hardware y software.
  • Otorgar privilegios de administrador y acceso solo cuando sea necesario para el rol de un empleado.
  • Supervisar los puertos, protocolos y servicios de la red.
  • Activar configuraciones de seguridad en dispositivos de infraestructura de red, como firewalls y enrutadores.
  • Establecer una lista de software permitido que solo las aplicaciones exijan legítimas.

Parche y actualización

  • Llevar a cabo evaluaciones periódicas de vulnerabilidad.
  • Realizar parcheo o parcheo virtual para sistemas operativos y aplicaciones.
  • Actualizar software y aplicaciones a sus últimas versiones.
  • Para evitar ataques como los exploits de FTA de Kiteworks, actualiza y parchea la última versión de FTA para eliminar las vulnerabilidades de día cero que fueron liberadas por los actores maliciosos y dedicados a las firmas de ataque.

Proteger y recuperar

  • Implementar medidas de protección, copia de seguridad y recuperación de datos.
  • Habilitar la autenticación multifactor (MFA).

Asegurar y defender

  • Emplear análisis de sandbox para bloquear correos electrónicos maliciosos.
  • Implementar las últimas versiones de las soluciones de seguridad en todas las capas del sistema, incluido el correo electrónico, el endpoint, la web y la red.
  • Detectar los primeros signos de un ataque, como la presencia de herramientas sospechosas en el sistema.
  • Utilizar tecnologías de detección avanzadas, como las impulsadas por inteligencia artificial y aprendizaje automático.

Entrenar y probar

  • Capacitar y evaluar periódicamente a los empleados en habilidades de seguridad.
  • Realizar ejercicios de equipo rojo y pruebas de penetración.

Un enfoque de varias capas puede ayudar a las organizaciones a proteger los posibles puntos de entrada al sistema (punto final, correo electrónico, web y red). Las soluciones de seguridad que detectan componentes maliciosos y comportamientos sospechosos también podrían ayudar a proteger a las empresas.

¿Cómo sé si Clop ransomware ha infectado mi sistema?

Si no puedes acceder a tus archivos y ves un aviso en tu escritorio de que tus archivos están encriptados y exigen el pago, es posible que estés infectado con el ransomware Clop.

Clop ransomware comenzó a aparecer en correos electrónicos de phishing en algún momento de 2019. Cuando cifra archivos, generalmente cambia el nombre de los archivos agregando una extensión .clop. Clop utiliza el estándar de cifrado RSA y no conocemos ninguna herramienta de descifrado gratuita y funcional para Clop.

Así es como puedes saber si Clop ransomware ha cifrado tus datos:

  • Clop ransomware creará un archivo de texto llamado «ClopReadMe.txt» y lo colocará en cada carpeta cifrada y en tu escritorio.
  • Si los nombres de la extensión de tu archivo cambian a .clop y ves una nota de rescate que te indica que pagues a los piratas informáticos a través de un servicio web oscuro oculto.
  • Algunas variantes de Clop pueden eliminar el fondo de pantalla de tu escritorio y reemplazarlo con una nota de rescate.
  • Tu procesador está cerca del 100 % de utilización, aunque no estés ejecutando ninguna aplicación de computación intensiva.
  • La computadora está funcionando más lentamente de lo normal aunque no estés ejecutando ningún programa.
  • Tu disco duro está leyendo y escribiendo a casi el 100 % de su capacidad, aunque no estés ejecutando ninguna aplicación.
  • Tu software antivirus está misteriosamente desactivado o no responde.

Consejos de remediación

Si un dispositivo en tu red se infecta con ransomware, comenzará a cifrar archivos, que también pueden incluir archivos remotos en ubicaciones de red. La única forma garantizada de recuperarse de una infección de ransomware es restaurar todos los archivos afectados desde su copia de seguridad más reciente. Para limitar el impacto de una infección de ransomware, se recomienda lo siguiente:

  • Los datos críticos se guardan con frecuencia en varias ubicaciones de copia de seguridad.
  • Al menos una copia de seguridad se mantiene fuera de línea en cualquier momento (separada de los sistemas activos).
  • Las copias de seguridad y los planes de recuperación de incidentes se prueban para garantizar que los datos se puedan restaurar cuando sea necesario.
  • Los permisos de la cuenta de usuario para modificar datos se revisan regularmente y se restringen al mínimo necesario.
  • Los sistemas infectados se desconectan de la red y se apagan tan pronto como sea posible.
  • Cualquier credencial de cuenta de usuario que pueda haberse visto comprometida debe restablecerse en un dispositivo limpio
  • Cuando los sistemas infectados no puedan ponerse en cuarentena con confianza, la organización afectada debe desconectarse de las redes nacionales para limitar la propagación.

Además, para prevenir y detectar una infección, recomendamos lo siguiente:

  • Las configuraciones seguras se aplican a todos los dispositivos.
  • Las actualizaciones de seguridad se aplican en la primera oportunidad.
  • La configuración de protección contra manipulaciones en los productos de seguridad está habilitada cuando está disponible.
  • Las plataformas obsoletas se segregan del resto de la red.
  • Las políticas de uso de TI se refuerzan con capacitación regular para garantizar que todos los usuarios sepan que no deben abrir enlaces o archivos adjuntos no solicitados.
  • Las políticas de bloqueo y autenticación multifactor (MFA) se utilizan cuando es posible, especialmente para las cuentas administrativas.
  • Las cuentas administrativas solo se utilizan para los fines necesarios.
  • Los servicios de administración remota utilizan protocolos fuertemente encriptados y solo aceptan conexiones de usuarios o ubicaciones autorizados.
  • Los sistemas se monitorizan continuamente y se investiga la actividad inusual, de modo que se pueda detectar un compromiso de la red lo antes posible.

Conclusión

Clop ransomware es una familia de ransomware de alto perfil que tiene industrias comprometidas a nivel mundial. Las organizaciones deben ser conscientes de SDBot, utilizado por TA505, y cómo puede conducir a la implementación del ransomware Clop. Como muchas otras familias de ransomware actuales, Clop alberga un sitio de fugas para crear presión adicional y avergonzar a las víctimas para que paguen el rescate.

Si bien los ataques de ransomware parecen abrumadores, las organizaciones pueden tomar medidas proactivas para disminuir su superficie de ataque y minimizar su susceptibilidad a los ataques. Conocer su exposición al riesgo de ransomware es el primer paso para prepararse para posibles ataques.

Las empresas siempre deben aprovechar las lecciones aprendidas de incidentes anteriores, particularmente que ningún proveedor es perfecto o está libre de vulnerabilidades, incluso los más grandes e importantes. La monitorización continua de vulnerabilidades y los parches oportunos son clave para administrar el riesgo del proveedor y el riesgo de ransomware.

Las empresas necesitan llegar a un lugar de resiliencia cibernética, donde puedan adaptarse rápidamente a los problemas del mañana y las amenazas de hoy. Juntos debemos ajustar nuestra postura y estar preparados para responder y recuperarnos de lo desconocido a medida que los movimientos de los actores de amenazas se vuelven más difíciles de prever.