# Clop File Transfer Exploitation Campaign > [!critical] TA505/FIN11 explorou zero-days em 3 plataformas distintas de transferencia de arquivos entre 2020 e 2023, comprometendo mais de 2.600 organizacoes globalmente > O grupo **TA505** (alias FIN11, Lace Tempest, GRACEFUL SPIDER) desenvolveu uma estratégia única: em vez de ataques de massa via phishing, o grupo investe em pesquisa de vulnerabilidades zero-day em plataformas enterprise de transferencia de arquivos - Accellion FTA (2020), GoAnywhere MFT (2023) e MOVEit Transfer (2023) - para comprometer dezenas ou centenas de organizacoes simultaneamente com um único exploit. O [[s0611-clop-ransomware|Clop ransomware]] e o payload final, mas desde 2021 o grupo prioriza extorsao via vazamento de dados sobre criptografia. ## Visão Geral A **Clop File Transfer Exploitation Campaign** representa a evolução mais sofisticada do grupo [[ta505|TA505]] / [[g0085-fin11|FIN11]], ativo desde pelo menos 2014 como distribuidor de malware em larga escala via phishing. Em 2020, o grupo fez uma virada estratégica fundamental: abandonou as campanhas de phishing de alto volume para focar em exploracoes cirurgicas de zero-days em software de transferencia de arquivos corporativos - uma classe de produtos amplamente adotada por organizacoes de alto valor em todos os setores. A lógica por tras desta mudança e elegante em sua eficiencia: em vez de comprometer 100 organizacoes individualmente via phishing, o grupo investe semanas ou meses identificando e desenvolvendo um exploit para um produto utilizado por centenas de organizacoes. O resultado e acesso simultaneo a dezenas ou centenas de alvos de alto valor com um único ataque coordenado. A estratégia foi replicada tres vezes consecutivas: 1. **Accellion FTA (Dez 2020)** - 4 CVEs zero-day encadeados, ~100 vitimas incluindo Reserve Bank of New Zealand, Jones Day e Kroger 2. **GoAnywhere MFT (Ján 2023)** - CVE-2023-0669, 130 vitimas em 10 dias incluindo Procter & Gamble, Crown Resorts e Hitachi 3. **MOVEit Transfer (Mai 2023)** - CVE-2023-34362 SQL injection, 2.500+ organizacoes, maior campanha de extorsao da historia Desde 2021, o grupo priorizou extorsao via vazamento de dados sobre criptografia: a ameaça de públicar dados no site "CL0P^_-LEAKS" cria pressao regulatoria (LGPD, GDPR, HIPAA) adicional sobre as vitimas, tornando o pagamento mais provavel independentemente da existencia de backups funcionais. O Brasil possui exposicao direta a esta campanha: o setor [[financial|financeiro]] brasileiro utiliza extensivamente plataformas de transferencia de arquivos gerenciados (MFT) para operações inter-bancarias, e a pressao regulatoria do [[bacen|Banco Central]] e da [[lgpd|LGPD]] sobre divulgacao de dados torna as organizacoes brasileiras targets atrativos para extorsao. ## Evolução da Campanha ```mermaid graph TB A["2014-2019<br/>TA505 - phishing em massa<br/>Get2, SDBbot, FlawedGrace, Clop"] --> B["2020-12<br/>Accellion FTA zero-days<br/>CVE-2021-27101 a 27104<br/>DEWMODE webshell - ~100 vitimas"] B --> C["2021<br/>Shift estratégico<br/>Extorsao via vazamento<br/>sem criptografia obrigatoria"] C --> D["2023-01<br/>GoAnywhere MFT zero-day<br/>CVE-2023-0669 - 130 vitimas<br/>10 dias de exploração"] D --> E["2023-05<br/>MOVEit Transfer<br/>CVE-2023-34362 SQL injection<br/>LEMURLOOT webshell<br/>2.500+ organizacoes"] E --> F["2023-06<br/>CISA Advisory AA23-158A<br/>Maior campanha extorsao<br/>da historia - ativa"] ``` ## Cronologia ```mermaid timeline title TA505 / Clop - Evolução de File Transfer Exploitation 2014 : TA505 surge como distribuidor de malware em larga escala via phishing 2019-02 : Clop ransomware lancado como RaaS - payload final de campanhas TA505 2020-12 : Accellion FTA - 4 zero-days encadeados via DEWMODE webshell 2021-02 : Vitimas Accellion divulgam breaches - Reserve Bank NZ, Jones Day 2021 : Shift para extorsao pura sem criptografia em alvos selecionados 2023-01 : GoAnywhere MFT CVE-2023-0669 - 130 vitimas em 10 dias 2023-05-27 : MOVEit Transfer CVE-2023-34362 - inicio da maior campanha 2023-06-07 : CISA Advisory AA23-158A - mais de 2.500 organizacoes afetadas 2023-07 : Departamentos do governo americano entre as vitimas confirmadas ``` ## TTPs Utilizadas | Tática | Técnica | ID | Observacao na Campanha | |--------|---------|-----|------------------------| | Initial Access | Exploit Public-Facing App | [[t1190-exploit-public-facing-application\|T1190]] | Zero-days em Accellion FTA, GoAnywhere, MOVEit | | Persistence | Web Shell | [[t1505-003-web-shell\|T1505.003]] | DEWMODE (Accellion) e LEMURLOOT (MOVEit) | | Collection | Data from Local System | [[t1005-data-from-local-system\|T1005]] | Navegacao e download de arquivos via webshell | | Exfiltration | Exfiltration Alt Protocol | [[t1048-exfiltration-alternative-protocol\|T1048]] | Dados exfiltrados via canal C2 dos webshells | | Impact | Data Encrypted for Impact | [[t1486-data-encrypted-for-impact\|T1486]] | Clop ransomware em alvos selecionados (2019-2021) | | Credential Access | Valid Accounts | [[t1078-valid-accounts\|T1078]] | Credenciais extraidas dos servidores MFT comprometidos | ## Vitimas Notaveis **Accellion FTA (2020-2021):** - Reserve Bank of New Zealand - primeira vitima a divulgar públicamente - Jones Day (EUA) - firma de advocacia, dados legais sensiveis vazados - Kroger - dados de RH, farmacia e clientes (~1% clientes afetados) - Singtel (Singapura) - dados de clientes e parceiros **GoAnywhere MFT (Ján 2023):** - Procter & Gamble - dados de funcionarios - Crown Resorts (Australia) - dados de clientes casino - Hitachi Energy - dados de clientes industriais - Community Health Systems (EUA) - dados de ~1 milhao de pacientes **MOVEit Transfer (Mai-Jun 2023):** - Departamento de Energia dos EUA, USDA, DHS - BBC, British Airways, Shell, Siemens Energy - Mais de 2.500 organizacoes em 60+ paises ## Relevância LATAM e Brasil O Brasil tem exposicao significativa a este padrao de ataque por tres razoes: (1) Plataformas MFT como MOVEit Transfer e similares sao amplamente utilizadas no setor [[financial|financeiro]] e [[government|governamental]] brasileiro para transferencia segura de dados; (2) A pressao combinada da [[lgpd|LGPD]] e das normas do [[bacen|BACEN]] sobre notificação de incidentes torna organizacoes brasileiras alvos atrativos para extorsao baseada em ameaça de vazamento; (3) O modelo opera globalmente - organizacoes brasileiras subsidiarias de empresas globais comprometidas no MOVEit foram afetadas indiretamente. ## Mitigação **Acoes imediatas para plataformas MFT:** - Aplicar patches imediatamente em todas as instancias de MOVEit Transfer, GoAnywhere e software MFT legacy - Auditar logs de acesso aos servidores MFT para o período das campanhas (Ján 2023, Mai-Jun 2023) - Verificar presenca dos webshells LEMURLOOT (`human2.aspx`, `_human2.aspx`) em servidores MOVEit **Controles estratégicos:** - Implementar [[m1016-vulnerability-scanning|M1016]] - monitoramento continuo de vulnerabilidades em software MFT - Segmentar servidores de transferencia de arquivos da rede corporativa principal - Monitorar via [[m1031-network-intrusion-prevention|M1031]] - trafego anomalo de saida de servidores MFT - Exigir SBOM e ciclo de patches documentado de fornecedores de software MFT ## Referências - [1](https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-158a) CISA - StopRansomware: CL0P Ransomware Gang Exploits MOVEit Vulnerability AA23-158A (2023) - [2](https://cloud.google.com/blog/topics/threat-intelligence/accellion-fta-exploited-for-data-theft-and-extortion) Mandiant - Accellion FTA Exploited for Data Theft and Extortion (2021) - [3](https://www.trendmicro.com/vinfo/us/security/news/ransomware-spotlight/ransomware-spotlight-clop) Trend Micro - Ransomware Spotlight: Clop (2024) - [4](https://www.cyber.gc.ca/en/guidance/profile-ta505-cl0p-ransomware) Canadian Centre for Cyber Security - Profile TA505/CL0P (2023) - [5](https://www.picussecurity.com/resource/clop-ransomware-gang) Picus Security - Who is Clop Ransomware Group? (2023)