Cl0p ransomware: L'intruso viscido che morde mentre dormi

Il ransomware Cl0p è un'operazione privata di ransomware gestita da un gruppo di criminalità informatica organizzata noto come <a href="https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-158a" target="_blank">TA505</a>. L'operazione Cl0p è solo una delle diverse unità dell'impresa criminale TA505 e si ritiene sia la più redditizia. Dalla sua comparsa nel 2019, Cl0p ha estorto <a href="https://cybelangel.com/cl0p-ransomware/" target="_blank">oltre 500 milioni di dollari in pagamenti di riscatto</a> e ha colpito direttamente migliaia di organizzazioni e decine di milioni di individui a livello globale. Nell'ultimo trimestre del 2024, <a href="https://www.securitymagazine.com/articles/101371-ransomware-extortion-rose-by-46-in-q4-2024" target="_blank">Cl0p ha superato Akira e ha sorpassato RansomHub</a> per diventare il gruppo di ransomware più attivo nel panorama. Nel primo trimestre del 2025, Cl0p ha superato LockBit come il gruppo di ransomware più prolifico, basandosi su <a href="https://blog.checkpoint.com/research/the-state-of-ransomware-in-the-first-quarter-of-2025-a-126-increase-in-ransomware-yoy" target="_blank">violazioni divulgate pubblicamente</a>.

I ricercatori credono che il nome del marchio <a href="https://thehackernews.com/2024/04/cl0ps-ransomware-rampage-security.html" target="_blank">derivi dalla parola russa ‘клоп</a>’, o ‘klop’, che si traduce in ‘cimice’ in inglese. Come <a href="https://blog.barracuda.com/2024/05/09/rhysida-ransomware--the-creepy-crawling-criminal-hiding-in-the-d" target="_blank">Rhysida</a>, <a href="https://blog.barracuda.com/2025/02/25/medusa-ransomware-and-its-cybercrime-ecosystem" target="_blank">Medusa</a> e <a href="https://blog.barracuda.com/2024/08/09/bianlian--the-face-changing-ransomware-menace" target="_blank">BianLian</a>, il nome probabilmente è destinato a trasmettere le caratteristiche adottate dal gruppo. La maggior parte degli analisti ha affermato che la piccola ma potente (e disgustosa) cimice dovrebbe rappresentare furtività e persistenza.

Cl0p è anche stilizzato come Clop o CLOP, ma il gruppo spesso si riferisce a se stesso con uno zero (0) che sostituisce la lettera ‘o’. Questo è un vecchio trucco di evasione per superare i filtri di parole chiave che non riconoscerebbero le somiglianze tra Clop e Cl0p, ed è un omaggio alla <a href="https://www.dcode.fr/leet-speak-1337#q1" target="_blank">pratica hacker di sostituire lettere con numeri e simboli</a>. Tuttavia, il gruppo non sembra troppo impegnato in questo, perché ha anche usato le sue note di riscatto utilizzando <a href="https://www.bleepingcomputer.com/news/security/cryptomix-clop-ransomware-says-its-targeting-networks-not-computers/">CLOP^_</a>, <a href="https://fourcore.io/images/clop/note.png">Clop</a> e <a href="https://i0.wp.com/securityaffairs.co/wordpress/wp-content/uploads/2019/12/clop-ransomware.jpg?resize=910%2C548&ssl=1">C|0p</a>.

Chi è Cl0p?

Per rispondere a questa domanda, iniziamo con l'impresa cybercriminale nota come TA505. Questo è un gruppo di lingua russa attivo dal 2014, che ha condotto attacchi con diverse famiglie di malware tra cui <a href="https://www.techtarget.com/searchsecurity/definition/Dridex-malware" target="_blank">Dridex</a> e <a href="https://cyberpedia.reasonlabs.com/EN/locky.html" target="_blank">Locky</a>. Oltre a Cl0p, <a href="https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-158a" target="_blank">le attività criminali di TA505 includono</a> il brokeraggio di accesso iniziale (IAB), phishing e distribuzione di <a href="https://www.malwarebytes.com/blog/threats/malspam" target="_blank">malspam</a> su larga scala, frodi finanziarie e <a href="https://blog.barracuda.com/2025/03/21/top-threats-of-the-2024-botnet-landscape" target="_blank">operazioni di botnet su larga scala</a>.

Il ceppo di ransomware Cl0p è emerso nel 2019 e si pensa che si sia evoluto dai ransomware CrypBoss e CryptoMix. Questi due ceppi sono emersi nel 2015 e 2016 e si erano estinti entro il 2018. Alcuni ricercatori credono che Cl0p sia un diretto successore di CryptoMix, ma sembra più probabile che gli operatori precedenti si siano divisi in diversi gruppi RaaS. Qualunque sia la storia delle origini, il ransomware Cl0p ha resistito e si è adattato, ed è ora considerato la 'nave ammiraglia' delle operazioni TA505. È lo strumento di attacco più conosciuto nel loro arsenale e dimostra la sofisticazione tecnica e l'adattabilità del gruppo nei metodi di attacco. Cl0p ha inflitto danni significativi in tutto il mondo attraverso i suoi attacchi alla catena di fornitura di alto profilo.

I ricercatori collocano TA505 e il ransomware Cl0p in Russia o nel <a href="https://www.britannica.com/topic/Commonwealth-of-Independent-States" target="_blank">Commonwealth degli Stati Indipendenti</a> (CIS). Il ransomware Cl0p è specificamente programmato per non essere eseguito su sistemi in lingua russa, e le comunicazioni del gruppo e i commenti nel codice contengono elementi di lingua russa e riferimenti culturali. I server di comando e controllo e gli elementi dell'infrastruttura di pagamento sono stati rintracciati in Russia e nell'Europa orientale.

Gli attori di Cl0p evitano anche di attaccare organizzazioni mirate in Russia e negli stati dell'ex Unione Sovietica, e i loro schemi di attività sono stati osservati in allineamento con l'orario lavorativo nei fusi orari dell'Europa orientale.

Nonostante la probabile origine russa, gli attori di Cl0p chiariscono che non sono hacktivisti né affiliati a nessun stato-nazione.

Le note di riscatto di Cl0p possono anche enfatizzare la motivazione finanziaria del gruppo:

Non vogliamo rendere pubblico questo o diffondere le tue informazioni riservate, siamo interessati solo ai soldi.

<i>Non ci interessa il discorso politico, solo il denaro e il denaro porterà a termine questo.” ~via </i><a href="https://www.ransomware.live/ransomnote/clop/Details_Cleo.txt" target="_blank" rel="noopener noreferrer"><i>Ransomware.Live</i></a><i></i>

Considerando queste affermazioni e la mancanza di prove contrarie, i ricercatori credono che Cl0p sia motivato da guadagni finanziari e non abbia obiettivi politici.

Operazioni Cl0p

Cl0p è un'operazione ransomware privata con un team centrale che gestisce la maggior parte degli aspetti delle loro campagne. Nella maggior parte degli attacchi principali, specialmente quelli che coinvolgono vulnerabilità zero-day, il team centrale TA505 mantiene il controllo end-to-end. Per alcune operazioni, Cl0p ha impiegato selettivamente un modello di affiliazione, in cui partner fidati sono autorizzati a utilizzare in modo limitato il loro codice ransomware in cambio di una percentuale dei proventi del riscatto. Questo potrebbe essere il caso quando Cl0p / TA505 ha un'operazione specifica in mente e il gruppo ha bisogno di più "mani a bordo" per portare a termine il lavoro.

Questo approccio flessibile colloca Cl0p da qualche parte tra le operazioni di puro Ransomware-as-a-Service (RaaS) che si affidano agli affiliati e i gruppi di ransomware privati che operano esclusivamente come team chiusi. Alcuni ricercatori e analisti del settore si riferiscono a Cl0p come a un'operazione RaaS perché Cl0p utilizza affiliati secondo necessità.

Cl0p si distingue anche per diversi altri motivi. Il gruppo è specializzato nello sfruttamento di <a href="https://www.barracuda.com/support/glossary/zero-day-threat?utm_source=05162025a&utm_medium=blog&utm_campaign=blog" target="_blank" rel="noopener noreferrer">vulnerabilità zero-day</a> precedentemente sconosciute, che hanno impiegato con successo in diversi attacchi alla catena di approvvigionamento. Utilizzano tattiche di estorsione aggressive, tra cui crittografia, esfiltrazione di dati, <a href="https://www.barracuda.com/support/glossary/ddos?utm_source=05162025a&utm_medium=blog&utm_campaign=blog" target="_blank" rel="noopener noreferrer">distributed-denial-of-service (DDoS)</a> e molestie ai portatori di interesse. Queste molestie coinvolgono il contatto con i dipendenti, clienti, partner e media colpiti per fare pressione sull'azienda violata affinché paghi.

Come Funziona Cl0p?

I metodi principali di distribuzione e infezione di Cl0p si sono evoluti da attacchi di phishing sofisticati a exploit avanzati di zero-day. Le campagne di phishing utilizzavano allegati email dannosi, link a siti compromessi e una serie di tattiche di ingegneria sociale. Cl0p è noto per utilizzare dati rubati da vittime esistenti per creare un messaggio convincente e una chiamata all'azione. Questo rende i loro attacchi più efficaci contro partner, clienti, fornitori e altri che possono offrire un percorso nella rete del bersaglio.

Nei primi anni di Cl0p, le campagne di phishing si basavano su file di Microsoft Excel e Word <a href="https://blog.barracuda.com/2023/11/17/malware-101-file-type-evasion" target="_blank" rel="noopener noreferrer">abilitati alle macro</a>. Questi venivano consegnati tramite un allegato html che reindirizzava l'utente ai documenti oppure erano direttamente allegati al messaggio.

Su dispositivi con macro abilitate, il documento ha scaricato i seguenti strumenti da un server controllato da Cl0p:

• <a href="https://www.trendmicro.com/vinfo/us/security/news/ransomware-spotlight/ransomware-spotlight-clop" target="_blank" rel="noopener noreferrer">Get2</a>: Un caricatore di malware, downloader o 'malware di prima fase'. Lo scopo principale di Get2 è scaricare ed eseguire altri software dannosi sul server della vittima.
• <a href="https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?name=Backdoor%3AWin32%2FSdbot" target="_blank" rel="noopener noreferrer">SDBot</a>: Questa è una famiglia di Trojan backdoor utilizzati per l'accesso remoto e il movimento laterale. Microsoft ha <a href="https://www.microsoft.com/en-us/wdsi/threats/threat-search?query=Backdoor:Win32/Sdbot" target="_blank" rel="noopener noreferrer">dettagli sulle varianti figlio qui</a>.
• <a href="https://www.cyber.nj.gov/threat-landscape/malware/trojans/flawedammyy" target="_blank" rel="noopener noreferrer">FlawedAmmyy RAT</a>: Un trojan di accesso remoto (RAT) utilizzato per il furto di dati e l'esecuzione di comandi.
• <a href="https://www.gdatasoftware.com/blog/2020/07/36122-hidden-miners" target="_blank" rel="noopener noreferrer">ServHelper</a>: Una famiglia di malware che facilita l'accesso remoto e le capacità di backdoor. Lavora anche per raccogliere credenziali e stabilire la persistenza della minaccia nel sistema.

Cl0p utilizzerà anche i broker di accesso iniziale (IAB) per accedere alle organizzazioni mirate.

Cl0p colpisce l'oro con vulnerabilità zero-day

Sebbene Cl0p continui a condurre attacchi di phishing, l'attacco zero-day è diventato l'approccio distintivo del gruppo. Molti gruppi di ransomware sfruttano vulnerabilità note su sistemi non aggiornati. Cl0p ha ripetutamente sviluppato e distribuito exploit contro vulnerabilità precedentemente sconosciute. Ecco i principali:

<a href="https://www.cisa.gov/news-events/cybersecurity-advisories/aa21-055a" target="_blank" rel="noopener noreferrer"><b>Accellion FTA</b></a><b> (dicembre 2020)</b>: Questo dispositivo di trasferimento file era vicino alla fine del ciclo di vita quando sono state identificate e sfruttate diverse vulnerabilità da Cl0p. L'attacco è stato lanciato il 23 dicembre, proprio prima delle festività natalizie negli Stati Uniti. Il gruppo ha ottenuto l'accesso a circa 100 organizzazioni che utilizzavano Accellion FTA. Vulnerabilità: CVE-2021-27101/27102/27103/27104

<a href="https://www.bleepingcomputer.com/news/security/fortra-shares-findings-on-goanywhere-mft-zero-day-attacks/" target="_blank" rel="noopener noreferrer"><b>GoAnywhere MFT</b></a><b> (gennaio 2023)</b>: la soluzione di Managed File Transfer di Fortra è stata sotto sfruttamento attivo per due settimane prima che il fornitore si rendesse conto della violazione. Cl0p è riuscito ad accedere a oltre 130 aziende tramite questo exploit. Vulnerabilità: CVE-2023-0669

<a href="https://www.bleepingcomputer.com/news/security/clop-ransomware-claims-responsibility-for-moveit-extortion-attacks/" target="_blank"><b>MOVEit Transfer (Maggio 2023)</b></a>: Cl0p ha sfruttato un altro fornitore di servizi di sistema di trasferimento file alla fine di maggio 2023, durante la festa del Memorial Day negli Stati Uniti. La vulnerabilità esisteva sia nelle versioni cloud che on-premises di MOVEit, e Cl0p è riuscito ad accedere a <a href="https://www.wired.com/story/moveit-breach-victims/" target="_blank">migliaia di aziende, colpendo milioni di individui</a>. Puoi vedere <a href="https://horizon3.ai/wp-content/uploads/2023/06/Screen-Shot-2023-06-09-at-7.45.34-AM.png" target="_blank">un diagramma di questo attacco alla catena di approvvigionamento qui</a>. Vulnerabilità: CVE-2023-34362

<a href="https://foresiet.com/blog/cl0p-ransomwares-reign-of-cyber-extortion-analyzing-the-recent-cleo-software-exploits" target="_blank"><b>Software Cleo (2024-2025)</b></a>: Cl0p sta sfruttando attivamente due vulnerabilità in tre prodotti <a href="https://www.cleo.com/" target="_blank">Cleo Software</a>:

• <b>Cleo LexiCom</b>: Un client desktop per trasferimenti di file sicuri, normalmente utilizzato per scambiare documenti sensibili con fornitori, clienti e altri partner commerciali.
• <b>Cleo VLTrader</b>: Software di trasferimento file gestito (MFT) basato su server che supporta più protocolli per flussi di lavoro automatizzati.
• <b>Cleo Harmony</b>: Una piattaforma di livello aziendale che si integra con soluzioni di pianificazione delle risorse aziendali (ERP) come SAP e Salesforce.

Entrambe le vulnerabilità sono state utilizzate per stabilire backdoor e rubare dati dai clienti Cleo. Questo attacco è in corso a partire da maggio 2025. Vulnerabilità: CVE-2024-50623 /55956.

Questi quattro attacchi alla catena di fornitura hanno dato a Cl0p accesso a migliaia di vittime, e la velocità di ciascun attacco era importante. La maggior parte dei fornitori ha rapidamente rilasciato una patch e comunicato con i clienti, quindi la finestra di opportunità per Cl0p si stava riducendo di ora in ora. Invece di prendere il tempo extra per criptare i dati, Cl0p si concentrava sul furto dei dati e sull'uso di questo e talvolta altri tipi di estorsione.

Poiché la velocità era così importante in questi attacchi, Cl0p si rivolgeva ad affiliati per assistere nell'esfiltrazione dei dati, ed è qui che entra in gioco il modello ibrido RaaS. Il team centrale di Cl0p non aveva la capacità di attaccare subito tutte le potenziali vittime, e gli affiliati possono fornire una percentuale dei riscatti da un pool più ampio di vittime.

I ricercatori hanno anche notato schemi nella tempistica degli attacchi Cl0p. Le email di phishing vengono inviate durante l'orario lavorativo comune nella regione mirata, così da catturare il maggior numero di vittime mentre sono alla scrivania. Cl0p attaccherà le vulnerabilità durante le ore fuori orario o durante le lunghe festività, quando il personale IT potrebbe essere ridotto o non disponibile.

Oltre l'accesso iniziale, la catena di attacco Cl0p procede in questo modo:

• <b>Movimento laterale</b>: Cl0p esplora la rete con strumenti come <a href="https://www.varonis.com/blog/what-is-mimikatz" target="_blank">Mimikatz</a>, <a href="https://learn.microsoft.com/en-us/sysinternals/downloads/psexec" target="_blank">PsExec</a> e <a href="https://www.cobaltstrike.com/" target="_blank">Cobalt Strike</a>.
• <b>Evasione e persistenza</b>: Cl0p <a href="https://www.threatdown.com/what-is-cl0p-ransomware/" target="_blank">disabilita Windows Defender e processi di backup</a>, e utilizza l'offuscamento del codice per nascondere indicatori di intento dannoso.
• <b>Esfiltrazione dei dati</b>: Rubare dati sensibili usando strumenti personalizzati come l'utility di esfiltrazione Teleport.
• <b>Crittografia</b>: Se i file sono crittografati, vengono rinominati con estensioni clop, CIIp, C_L_O_P o una variazione simile.

I biglietti di riscatto sono solitamente denominati `Cl0pReadMe.txt` o `README_README.txt`. Le informazioni delle vittime vengono poi pubblicate sul sito di leak di Cl0p.

Quando non c'è crittografia, Cl0p procede con una o più tattiche di estorsione. Questo potrebbe essere fughe di dati, attacchi DDoS o molestie alle vittime. Quando le negoziazioni per il riscatto falliscono, Cl0p rende i dati disponibili per il download.

Cl0p si classifica costantemente tra le minacce ransomware più dannose e adattive nel panorama informatico. Ha le capacità tecniche per distribuire exploit rapidamente e scalare le operazioni secondo necessità. Fa anche parte di un gruppo più ampio, TA505, che gestisce una varietà di operazioni di crimine informatico che possono essere sfruttate su richiesta. Resilienza, innovazione tecnica e accesso a molte risorse diverse rendono Cl0p una seria minaccia per tutte le aziende.

Proteggiti

Seguire le migliori pratiche e utilizzare più livelli di sicurezza ridurrà i rischi. Rimanere vigili e applicare rapidamente le patch di sicurezza, soprattutto per tutte le soluzioni di trasferimento file e altri software della catena di approvvigionamento. Soluzioni come <a href="https://www.barracuda.com/products/managed-xdr?utm_source=05162025a&utm_medium=blog&utm_campaign=blog" target="_blank" rel="noopener noreferrer">Barracuda Managed XDR</a> possono rilevare questi attacchi e prevenire la crittografia e il furto dei tuoi dati.