Sign up to save your podcasts
Or
Share IPGR Investigación 1 - Ransomware Clop
Share to email
Share to Facebook
Share to X
Share to email
Share to Facebook
Share to X
Or
IPGR Investigación 1 - Ransomware Clop
Investigación Profunda de Grupos de Ransomware
Investigación 1 - Ransomware Clop
1. Identificación del Grupo
Nombre: Clop
Año de aparición: 2019
Origen: Europa del Este (posiblemente Rusia o países vecinos)
Víctimas: 668 en total, 60 en 2025 hasta la fecha. Última víctima: OLAMETER.COM.
2. Perfil del Grupo
Historia y evolución: Derivado del malware CryptoMix, ha evolucionado con capacidades avanzadas, incluyendo la doble extorsión y el modelo de Ransomware-as-a-Service (RaaS).
Grandes ataques: Accellion (2020-2021), universidades, hospitales y gobiernos.
Estado actual: Continúa activo con tácticas más sofisticadas y evasivas.
3. Tácticas, Técnicas y Procedimientos (TTPs)
Infraestructura: Servidores C2 en la darknet, exfiltración de datos, sitios de fugas.
Distribución: Phishing dirigido y explotación de vulnerabilidades.
Criptografía: AES-256 y RSA-2048 para cifrado de archivos.
Persistencia: Modificación de claves de registro y uso de herramientas como PsExec y Mimikatz.
Evasión: Uso de la darknet, VPNs, proxies y exclusión geográfica de países de la CEI.
4. Flujo de Ataque
Acceso inicial: Phishing con correos maliciosos, explotación de vulnerabilidades (ej. CVE-2021-35211 en SolarWinds).
Movimiento lateral: Uso de Cobalt Strike y SDBOT para propagación en redes corporativas.
Exfiltración: Uso de herramientas como Rclone para el robo de datos.
Impacto final: Cifrado de archivos críticos y extorsión con amenazas de divulgación.
5. Impacto
Económico: Rescates de $500,000 a $20 millones, interrupción operativa y costos de recuperación.
Reputacional: Pérdida de confianza, exposición de datos sensibles y cobertura mediática negativa.
6. Victimología
Sectores afectados: Salud, educación, gobierno, finanzas, tecnología, manufactura, energía, retail, transporte.
Regiones afectadas: América del Norte, Europa, Asia, Oceanía, América Latina, África y Medio Oriente.
7. Contramedidas y Detección
Seguridad preventiva: Inventario de activos, monitoreo de red, hardening y parcheo.
Protección y respuesta: Copias de seguridad, MFA, sandboxing y detección con IA.
Entrenamiento: Simulaciones de phishing, ejercicios de equipo rojo y concienciación en seguridad.
8. Herramientas y Comandos Usados
Comandos maliciosos: net use, powershell -enc, taskkill, vssadmin delete shadows.
Explotación de vulnerabilidades: MOVEit Transfer, SolarWinds.
Malware asociado: Cobalt Strike, TrueBot, FlawedAmmyy, SDBOT.
9. Pirámide del Dolor
Clop se adapta rápidamente a medidas defensivas, pero atacar sus TTPs (tácticas, técnicas y procedimientos) dificulta su operación.
Redes Sociales:
https://shows.acast.com/blueteam-sin-morir-en-el-intento
https://linkedin.com/company/blue-team-smi
https://x.com/blueteam_smi
https://www.youtube.com/@BlueTeamSMI
Donativo:
https://buymeacoffee.com/btsmi
Hosted on Acast. See acast.com/privacy for more information.
View all episodes
By Jose RojasInvestigación Profunda de Grupos de Ransomware
Investigación 1 - Ransomware Clop
1. Identificación del Grupo
Nombre: Clop
Año de aparición: 2019
Origen: Europa del Este (posiblemente Rusia o países vecinos)
Víctimas: 668 en total, 60 en 2025 hasta la fecha. Última víctima: OLAMETER.COM.
2. Perfil del Grupo
Historia y evolución: Derivado del malware CryptoMix, ha evolucionado con capacidades avanzadas, incluyendo la doble extorsión y el modelo de Ransomware-as-a-Service (RaaS).
Grandes ataques: Accellion (2020-2021), universidades, hospitales y gobiernos.
Estado actual: Continúa activo con tácticas más sofisticadas y evasivas.
3. Tácticas, Técnicas y Procedimientos (TTPs)
Infraestructura: Servidores C2 en la darknet, exfiltración de datos, sitios de fugas.
Distribución: Phishing dirigido y explotación de vulnerabilidades.
Criptografía: AES-256 y RSA-2048 para cifrado de archivos.
Persistencia: Modificación de claves de registro y uso de herramientas como PsExec y Mimikatz.
Evasión: Uso de la darknet, VPNs, proxies y exclusión geográfica de países de la CEI.
4. Flujo de Ataque
Acceso inicial: Phishing con correos maliciosos, explotación de vulnerabilidades (ej. CVE-2021-35211 en SolarWinds).
Movimiento lateral: Uso de Cobalt Strike y SDBOT para propagación en redes corporativas.
Exfiltración: Uso de herramientas como Rclone para el robo de datos.
Impacto final: Cifrado de archivos críticos y extorsión con amenazas de divulgación.
5. Impacto
Económico: Rescates de $500,000 a $20 millones, interrupción operativa y costos de recuperación.
Reputacional: Pérdida de confianza, exposición de datos sensibles y cobertura mediática negativa.
6. Victimología
Sectores afectados: Salud, educación, gobierno, finanzas, tecnología, manufactura, energía, retail, transporte.
Regiones afectadas: América del Norte, Europa, Asia, Oceanía, América Latina, África y Medio Oriente.
7. Contramedidas y Detección
Seguridad preventiva: Inventario de activos, monitoreo de red, hardening y parcheo.
Protección y respuesta: Copias de seguridad, MFA, sandboxing y detección con IA.
Entrenamiento: Simulaciones de phishing, ejercicios de equipo rojo y concienciación en seguridad.
8. Herramientas y Comandos Usados
Comandos maliciosos: net use, powershell -enc, taskkill, vssadmin delete shadows.
Explotación de vulnerabilidades: MOVEit Transfer, SolarWinds.
Malware asociado: Cobalt Strike, TrueBot, FlawedAmmyy, SDBOT.
9. Pirámide del Dolor
Clop se adapta rápidamente a medidas defensivas, pero atacar sus TTPs (tácticas, técnicas y procedimientos) dificulta su operación.
Redes Sociales:
https://shows.acast.com/blueteam-sin-morir-en-el-intento
https://linkedin.com/company/blue-team-smi
https://x.com/blueteam_smi
https://www.youtube.com/@BlueTeamSMI
Donativo:
https://buymeacoffee.com/btsmi
Hosted on Acast. See acast.com/privacy for more information.