El grupo cibercriminal de ransomware Clop incrementó sus ataques en los últimos meses aprovechando vulnerabilidades día cero y probablemente herramientas de automatización, poniendo especial atención en México y América Latina, donde ya hay varias víctimas.
De acuerdo con Cristian Torres, director de Marketing para Latinoamérica de Lumu Technologies, este grupo no es nuevo porque se identificó desde principios de 2019 y, un año después, incluso se detectó que aumentó su capacidad de impactar a las organizaciones añadiendo a su código fuente la posibilidad de exfiltrar datos.
Lo que nos dice nuestro equipo de inteligencia de amenazas es que tal vez Clop sea, junto con LockBit, uno de los grupos más prolíficos que se han detectado en los últimos tres años”, resaltó al platicar con Excélsior.
De hecho, recientemente Clop superó el récord que tenía LockBit en cuanto a víctimas nuevas reportadas en un día. Esto porque a finales de marzo pudieron, en un mismo día, reportar 26 nuevas víctimas de su actividad de ransomware como servicio.
Resaltó que las muestras del ransomware de Clop se ven mayoritariamente en EU y Latinoamérica, y México figura como el tercer país más atacado de 2019 a hoy.
¿Cómo atacan?
El director de Marketing para Latinoamérica de Lumu Technologies destacó que Clop, al ser un ransomware, puede encriptar y secuestrar dispositivos, sin embargo, se han centrado más en la exfiltración de datos, es decir, piden un rescate a las organizaciones para no hacer pública esa información robada.
El equipo de inteligencia de Lumu ha identificado diferentes técnicas que utiliza Clop para comprometer las redes de las organizaciones.
Por ejemplo, para poder entrar a una organización típicamente utiliza phishing para robar las credenciales de algún empleado, y una vez dentro de la red propagarse y comprometer más dispositivos haciendo uso de diferentes tipos de código malicioso.
A esto se añade que lograron explotar una vulnerabilidad de día cero en una herramienta muy utilizada por las organizaciones para compartir archivos, es decir, GoAnywhere.
Como dicha vulnerabilidad ya es conocida por el fabricante, se lanzó un parche, aunque depende de las organizaciones instalarlo para estar protegidas.