El ransomware CL0P: ¿qué es y cómo funciona?

En los últimos años, el ransomware cl0p pasó a ser una grave amenaza para la ciberseguridad tras provocar importantes daños en una gran variedad de organizaciones e industrias de todo el mundo. Aunque los ataques del virus cl0p suelen funcionar de forma similar a otros ataques de ransomware, existen algunas diferencias en concreto.

Pero ¿qué es exactamente el ransomware cl0p y cómo funcionan estos ataques? Y lo que es quizá más pertinente: ¿qué pueden hacer las organizaciones para disminuir las posibilidades de ser víctimas de estos ataques, que suelen repercutir negativamente en sus finanzas?

Breve historia del ransomware CL0P

Cl0p (que a veces se escribe "cl0p", con el número cero) es un tipo de ransomware o malware extorsionador. Si bien no es exactamente igual que CryptoMix, se cree que el ransomware cl0p sigue el modelo de este malware anterior a él. Sin embargo, ahora el troyano pasó por varias iteraciones, y las nuevas versiones sustituyen rápidamente a las anteriores.

Investigadores de seguridad descubrieron Cl0p en febrero de 2019 a raíz de un importante ataque de spear-phishing. Fue y sigue siendo una gran amenaza para la ciberseguridad de todo tipo de empresas y organizaciones por la forma en que corrompe los archivos de los dispositivos de las víctimas y exige pagos de rescate. De hecho, se cree que con el malware en cuestión, el grupo de ransomware cl0p extorsionó a conglomerados energéticos mundiales, a varias universidades importantes, a la BBC, a British Airways y a varias agencias gubernamentales.

En 2020, el grupo de ransomware cl0p llevó a cabo un ataque para aprovechar vulnerabilidades en la red privada de contenidos de Kiteworks (antes Accellion) con el fin de atacar a los clientes de la plataforma e infiltrarse en sus redes, aunque en este ataque no se implementó el malware clop propiamente dicho. Al mismo tiempo, los creadores del troyano cl0p lanzaron un doble plan de extorsión, en el que filtraron los datos robados a una empresa farmacéutica en un ataque destructivo masivo.

En 2021 siguieron los ataques contra SolarWinds, empresa de software que ofrece administración de TI a diversas empresas, y Swire Pacific Offshore, proveedor de servicios marítimos con sede en Singapur.

En 2023, la actividad de Clop aumentó en comparación con los años anteriores. De enero a junio de 2023, el troyano se utilizó para atacar a víctimas de diversos sectores, de los cuales los servicios empresariales ocuparon el primer lugar, seguidos del software y de las finanzas. Muchas de las víctimas se encontraban en Norteamérica y Europa. Estados Unidos sufrió la mayor cantidad de ataques por un amplio margen.

La escala del ataque fue notable, con más de 2000 organizaciones que informaron de incidentes, lo que afectó a más de 62 millones de personas cuyos datos se filtraron, predominantemente en Estados Unidos.

La serie de ataques de ransomware del grupo Cl0p a través de la vulnerabilidad del software de transferencia de archivos MOVEit (CVE-2023-34362) alcanzó su punto álgido: los atacantes afirmaron haber vulnerado cientos de empresas y lanzaron un ultimátum hasta el 14 de junio. El día cero posibilitó la descarga masiva de datos de organizaciones, entre los que se incluía diversa información confidencial. Las autoridades policiales estadounidenses decidieron ofrecer una recompensa de $10 millones por información sobre Cl0p.

¿Qué es Cl0p?

Entonces, ¿qué es cl0p? El análisis del ransomware Cl0p indica que es una variación del ransomware CryptoMix. Al igual que el malware en el que se basa, el virus cl0p infecta el dispositivo objetivo. Sin embargo, en este caso, el ransomware cambia el nombre de todos los archivos con la extensión .cl0p y los cifra, lo que los inutiliza.

Para llevar a cabo sus ataques eficazmente, el ransomware cl0p se ajusta al formato Win32 PE (Portable Executable) de archivos ejecutables. Lo más grave es que los investigadores descubrieron ejecutables del virus cl0p con firmas verificadas que le dan una apariencia legítima y permiten al malware eludir la detección del software de seguridad. Luego, Cl0p cifra los archivos con el cifrado de flujo RS4 y, luego, utiliza RSA 1024 para cifrar las claves RC4. Todos los archivos de un dispositivo están en peligro durante este tipo de infección de ransomware, como las imágenes, los videos, la música y los documentos.

Tras cifrar los archivos, el virus cl0p exige un rescate a la víctima. Si no se paga el rescate, el atacante amenaza con filtrar los datos de dichos archivos. Esto es lo que se conoce como "doble extorsión", debido a la táctica de doble capa de renderizar los archivos de la víctima y amenazar con filtrar los datos públicamente. Se suele indicar a las víctimas que paguen el rescate con Bitcoin u otra criptomoneda.

¿Quién está detrás del ransomware cl0p?

Pero ¿quién es el ransomware cl0p? Se cree que el ransomware Cl0p lo desarrolló un grupo de ciberdelincuentes de ransomware como servicio de habla rusa, cuyo principal objetivo es obtener beneficios económicos. El grupo suele conocerse con el nombre de TA505, aunque muchas veces se utiliza indistintamente el nombre FIN11. Sin embargo, no está del todo claro si se trata del mismo grupo o si FIN11 es un subconjunto de TA505.

Al margen del nombre que utilicen, esta banda de ransomware cl0p opera su producto según el modelo de ransomware como servicio. Como tal, el virus cl0p está a la venta en la web oscura y técnicamente puede ser utilizado por cualquier ciberdelincuente que esté dispuesto a pagar por el ransomware.

El ransomware Cl0p: cómo funciona

El grupo de ransomware cl0p lleva a cabo sus ataques mediante un proceso de varios pasos. Los siguientes son estos pasos:

1. Los atacantes utilizan el malware para acceder al dispositivo objetivo a través de diversos métodos.
2. Después, realizan un reconocimiento manual del dispositivo y roban los datos que desean.
3. Entonces, lanzan el cifrador para bloquear los archivos del dispositivo objetivo al cambiar su extensión, lo que los inutiliza. En los últimos tiempos, como en el caso de los ataques de 2023 a través del software de transferencia de archivos MOVEit, se robaron datos sin que los archivos estuvieran cifrados.
4. Cuando la víctima intenta abrir uno de los archivos cifrados, recibe una nota de rescate con instrucciones sobre cómo efectuar el pago.
5. El atacante utiliza la "doble extorsión" y amenaza con filtrar los datos robados del dispositivo de la víctima si no se paga el rescate.
6. Si se paga el rescate, la víctima recibe una clave de descifrado que restaura los archivos de su dispositivo.

Los atacantes utilizan varios métodos para enviar el ransomware cl0p a los dispositivos objetivo. Estas pueden incluir:

• el phishing (con técnicas de ingeniería social);
• el aprovechamiento de vulnerabilidades del software;
• archivos adjuntos y vínculos de correo electrónico infectados;
• sitios web infectados;
• vulneración de los servicios remotos externos.

Independientemente del método que elijan para enviar el troyano cl0p al dispositivo objetivo, el ataque resultante siempre sigue el mismo patrón. El objetivo es siempre cobrar un rescate a la víctima. Sin embargo, en muchos casos, el atacante acepta el pago y deja de responder. En estos casos, la víctima no recibe la clave de descifrado y no puede recuperar el acceso a sus archivos.

Cómo evitar el ransomware CL0P

Es fundamental que todos los usuarios de dispositivos sigan las disposiciones básicas de seguridad informática para evitar una infección por cl0p. En general, se trata de los mismos principios que se aplican a la prevención de todo tipo de ciberataques, como por ejemplo:

• Incluir las amenazas de malware en la capacitación de concienciación sobre seguridad de la organización para garantizar que los empleados están al corriente de las últimas amenazas y medidas preventivas: Kaspersky Automated Security Awareness Platform puede ser una herramienta útil.
• Proteger los datos de la empresa, por ejemplo, restringiendo los controles de acceso.
• No acceder a los servicios de escritorio remoto a través de redes públicas (si fuera necesario, utilizar contraseñas seguras para estos servicios).
• Hacer siempre copias de seguridad de los datos y almacenarlas en una ubicación distinta, como en el almacenamiento en la nube o en unidades externas en oficinas administrativas.
• Mantener actualizado todo el software y las aplicaciones, así como los sistemas operativos y el software de servidor, para garantizar que se instalen los últimos parches de seguridad. Sobre todo es fundamental instalar inmediatamente los parches de las soluciones VPN comerciales que permiten a los empleados acceder a distancia a las redes de la organización. En este sentido, pueden ser útiles las actualizaciones automatizadas y las instalaciones programadas fuera del horario de oficina.
• Estar al tanto de los últimos informes de inteligencia sobre amenazas.
• Utilizar soluciones de software como Kaspersky Endpoint Detection o Kaspersky Managed Detection and Response Service para la detección temprana de amenazas, a fin de detectar y detener los ataques en sus primeras fases.
• Utilizar soluciones de seguridad para endpoints fiables: Kaspersky Endpoint Security for Business cuenta con prevención de exploits, detección de comportamientos mediante IA e inteligencia experta en amenazas, reducción de las superficies de ataque y un motor de reparación que puede deshacer las acciones maliciosas.

Cómo hacer frente al virus ransomware CL0P

Una vez que un dispositivo está infectado con el virus cl0p, lamentablemente hay muy poco que se pueda hacer para recuperar el acceso a sus archivos. Como con cualquier tipo de ataque de ransomware, el consejo general es no pagar el rescate solicitado. Esto se debe a que los atacantes no suelen proporcionar la clave de descifrado tras recibir el pago del rescate. Incluso si lo reciben, el haber tenido éxito les da confianza y los anima a seguir atacando a otras víctimas desprevenidas.

En lugar de pagar el rescate, suele ser mejor comunicarse con las autoridades para denunciar el ataque e iniciar una investigación. Otra opción es utilizar uno de los tantos softwares disponibles para analizar el dispositivo y eliminar el ransomware CL0P. Sin embargo, esto no restaura los archivos cifrados durante el ataque. Por ello, es importante crear copias de seguridad con regularidad y almacenarlas en una ubicación distinta (como una unidad externa o en la nube) para que continúen disponibles en caso de que ocurra un ataque.

Tener precaución siempre es fundamental cuando se trata de la seguridad de tu computadora. Es importante prestar atención al navegar por Internet y descargar, instalar y actualizar software.

La amenaza del Cl0p

El ransomware Cl0p, como otros tipos de virus y malware, es una amenaza constante para la ciberseguridad en una sociedad que ahora es mayoritariamente digital. El virus cl0p es una amenaza muy particular entre una gran cantidad de malware extorsionador, pero que preocupa sobre todo a las empresas y organizaciones. Si bien puede tener graves consecuencias para sus víctimas, hay algunas medidas preventivas y salvaguardias que pueden aplicarse para intentar reducir al mínimo el riesgo de ataques de cl0p o mitigar los efectos en caso de ataque.

Artículos relacionados:

• Cómo elegir una solución antivirus
• ¿Cómo funcionan los virus informáticos?
• Ataques y tipos de ransomware: en qué se diferencian los troyanos de cifrado

Productos y servicios relacionados:

• Kaspersky Password Manager
• Kaspersky Endpoint Security Cloud
• Kaspersky Premium
• Kaspersky Premium - Prueba gratuita