Cl0p (TA505): Mass Exploitation y Extorsión a Escala
Perfil técnico de Cl0p (TA505/FIN11/Lace Tempest): grupo de ransomware y extorsión que pioneeró la mass exploitation de zero-days en file transfer (MOVEit, GoAnywhere, Accellion). Modelo de extorsión sin cifrado y campañas documentadas.
Cl0p reinventó el ransomware: de cifrar uno a uno a explotar un zero-day y extorsionar a miles simultáneamente
Cl0p (asociado con TA505/FIN11/Lace Tempest) es el grupo que cambió el modelo de ransomware. En vez de la cadena tradicional (phishing → lateral movement → cifrado), Cl0p explota vulnerabilidades zero-day en software de transferencia de archivos usado por miles de empresas, exfiltra datos masivamente, y extorsiona sin necesidad de cifrar. MOVEit (2023) fue su operación más devastadora: 2.500+ víctimas de un solo exploit.
Ficha del grupo
| Campo | Detalle |
|---|---|
| MITRE ID | G0092 (como TA505) |
| Nombres | Cl0p, TA505, FIN11, Lace Tempest, DEV-0950, Dungeon Spider |
| Atribución | Grupo criminal, miembros de Rusia/Ucrania |
| Motivación | Financiero (extorsión + ransomware) |
| Activo desde | 2014 (TA505), 2019 (ransomware Cl0p) |
| Nivel | Tier 3: zero-day exploitation, mass compromise, extorsión a escala |
| Sectores | Todos (mass exploitation no discrimina) |
| Regiones | Global |
Modelo de operación: mass exploitation
MODELO TRADICIONAL (LockBit, BlackCat):
1 víctima → phishing → lateral movement → cifrado → extorsión
Tiempo: 5-14 días por víctima
Escala: 1 víctima a la vez
MODELO CL0P (mass exploitation):
1 zero-day → exploit masivo → 1000+ víctimas → exfiltración → extorsión
Tiempo: horas para comprometer, semanas para exfiltrar
Escala: cientos-miles simultáneamente
Sin cifrado: solo amenaza de publicar datos
Campañas de mass exploitation
Accellion FTA (ene 2021)
| Aspecto | Detalle |
|---|---|
| CVE | CVE-2021-27101, CVE-2021-27104 |
| Producto | Accellion File Transfer Appliance |
| Víctimas | ~100 organizaciones |
| Notables | Shell, Kroger, UC Berkeley, Jones Day, Singtel |
| Método | SQL injection + command execution en FTA |
GoAnywhere MFT (feb 2023)
| Aspecto | Detalle |
|---|---|
| CVE | CVE-2023-0669 |
| Producto | Fortra GoAnywhere MFT (Managed File Transfer) |
| Víctimas | ~130 organizaciones |
| Notables | Hitachi Energy, Rubrik, City of Toronto, Procter & Gamble |
| Método | Pre-auth RCE via deserialization en admin console |
MOVEit Transfer (may-jun 2023)
| Aspecto | Detalle |
|---|---|
| CVE | CVE-2023-34362 (+ CVE-2023-35036, CVE-2023-35708) |
| Producto | Progress MOVEit Transfer |
| Víctimas | 2.500+ organizaciones, 65M+ individuos |
| Notables | Shell, British Airways, BBC, Boots, Aer Lingus, US DoE, Sony, PwC, EY, Deloitte, múltiples universidades y hospitales |
| Método | SQL injection → webshell → exfiltración masiva |
Cadena MOVEit:
1. Cl0p descubre SQLi en MOVEit Transfer (zero-day)
2. Escaneo masivo de instancias MOVEit expuestas a Internet
3. Exploit SQLi → instalar webshell LEMURLOOT
4. Webshell permite: listar archivos, exfiltrar datos, ejecutar comandos
5. Exfiltración automatizada de datos de cada instancia comprometida
6. Semanas después: anuncio en site de leaks, deadline de pago
7. Publicación progresiva de datos de víctimas que no pagan
SysAid (nov 2023)
| Aspecto | Detalle |
|---|---|
| CVE | CVE-2023-47246 |
| Producto | SysAid IT service management |
| Víctimas | Decenas de organizaciones |
| Método | Path traversal → webshell → exfiltración |
Cleo (dic 2024)
| Aspecto | Detalle |
|---|---|
| CVE | CVE-2024-50623, CVE-2024-55956 |
| Producto | Cleo Harmony, VLTrader, LexiCom |
| Víctimas | 60+ organizaciones |
| Método | Arbitrary file write → webshell |
Patrón: siempre file transfer software
Cl0p ataca consistentemente software de transferencia de archivos porque:
- Contienen datos sensibles: archivos transferidos entre organizaciones
- Expuestos a Internet: por diseño necesitan acceso externo
- Amplitud de uso: un solo producto puede tener miles de instancias
- Datos pre-concentrados: no necesita buscar datos valiosos, ya estan en el file transfer
- Bajo monitoring: muchas organizaciones no monitorizan estos appliances
Herramientas
| Herramienta | Tipo | Campañas |
|---|---|---|
| LEMURLOOT | Webshell (.aspx) | MOVEit |
| DEWMODE | Webshell (PHP) | Accellion |
| Cl0p ransomware | Ransomware | Campañas pre-2023 (tradicional) |
| FlawedAmmyy | RAT | TA505 campañas de phishing antiguas |
| SDBbot | RAT | TA505 campañas 2019-2020 |
| TrueBot | Loader | Distribución pre-ransomware |
| Get2 | Loader | TA505 delivery chain |
| Custom webshells | Webshell | Específicos por producto explotado |
Técnicas ATT&CK
| Táctica | Técnica | ID | Uso |
|---|---|---|---|
| Initial Access | Exploit Public-Facing Application | T1190 | Zero-day en file transfer (SIEMPRE) |
| Execution | Server Software Component: Web Shell | T1505.003 | LEMURLOOT, DEWMODE |
| Collection | Data from Information Repositories | T1213 | Archivos en el file transfer |
| Exfiltration | Exfiltration Over Web Service | T1567 | Datos exfiltrados via webshell a C2 |
| Impact | Financial Theft (extorsión) | T1657 | Amenaza de publicar datos |
Modelo de extorsión
1. Compromiso masivo (zero-day exploitation)
2. Exfiltración automatizada de datos
3. Anuncio en sitio de leaks (cl0p^_- leaks)
4. Contacto directo con víctimas: "tenemos sus datos"
5. Deadline: 7-14 días para negociar pago
6. Sin respuesta: publicación progresiva (muestras → datos completos)
7. Demandas: 1-35M USD dependiendo del tamaño de la víctima
Sin cifrado en mass exploitation: Cl0p no cifra sistemas en operaciones de mass exploitation. Solo exfiltra y amenaza con publicar. Esto es más eficiente: no necesita lateral movement, persistencia prolongada, ni despliegue de ransomware.
Detección y prevención
Para file transfer appliances
CRITICO:
1. Inventariar TODOS los file transfer appliances expuestos a Internet
2. Patching inmediato (SLA: horas, no días) cuando hay advisory
3. WAF con virtual patching para zero-days
4. Monitorizar: webshells nuevos, archivos .aspx/.php en directorios web
5. Network segmentation: limitar outbound del appliance
6. Auditar permisos: limitar qué datos puede acceder el appliance
7. Logs: habilitar auditoría de acceso a archivos
PREVENTIVO:
8. Evaluar alternativas más seguras (SFTP directo, APIs con auth)
9. Minimizar datos almacenados en el appliance (transferir y borrar)
10. Segmentar: appliance en DMZ, no en red interna
Indicadores
Webshells:
- Archivos .aspx/.php nuevos en directorios web del appliance
- Cambios en archivos web existentes (hash mismatch)
- Peticiones HTTP anómalas (user-agent, URI patterns)
Exfiltración:
- Tráfico saliente masivo desde el appliance
- Conexiones a IPs no habituales
- Descarga masiva de archivos via webshell
Pre-ataque:
- Escaneo de puertos/servicios del appliance desde IPs externas
- Intentos de exploit conocidos (SQLi, path traversal)
Conclusión
Cl0p demostró que el modelo de mass exploitation es más rentable que el ransomware tradicional: un zero-day en software ampliamente usado produce miles de víctimas simultáneas sin necesidad de post-explotación larga. Para defensores, la lección es: los file transfer appliances expuestos a Internet son targets prioritarios que requieren patching inmediato y monitorización continua.
Fuentes y referencias
- MITRE ATT&CK: TA505 (G0092)
- CISA: "CL0P Ransomware Gang Exploits MOVEit" (AA23-158A)
- Mandiant: "FIN11: Widespread Email Campaigns" + Cl0p evolution
- Emsisoft: MOVEit breach tracker (2.500+ organizations)
- Microsoft: "Lace Tempest" threat profile
Preguntas frecuentes
Artículos relacionados
FIN7 (Carbanak): Cibercrimen Financiero Sofisticado
Scattered Spider: Social Engineering, SIM Swapping y Ransomware-as-a-Service
Cadena de Infección de Ransomware: Del Acceso Inicial al Cifrado
Atribución y Niveles de Confianza: Framework para Analistas CTI
Automatización de Recolección CTI: n8n, MISP y TheHive Cortex
Este contenido tiene fines exclusivamente educativos y de investigación en ciberseguridad defensiva. No se proporcionan binarios maliciosos ni payloads ejecutables. El uso indebido de esta información es responsabilidad exclusiva del usuario. Leer disclaimer completo.