cl0p - RunkIntel

# Cl0p > [!danger] Cl0p - Mestre em Supply Chain MFT Zero-Days, $10M de Recompensa do DoJ > Cl0p (TA505/FIN11) é um dos grupos de ransomware e extorsão mais impactantes da história recente, especializado em **zero-days em plataformas de transferência de arquivos gerenciados (MFT)** para comprometimento massivo em escala. Desde 2020, o grupo acumulou mais de **4.000 organizações** como vítimas via ataques em cascata contra Accellion FTA (2020), GoAnywhere (2023), MOVEit (2023), Cleo MFT (2024) e Oracle EBS (2025). O modelo evoluiu de ransomware clássico para **extorsão pura de dados** - o grupo ameaça públicar dados sem criptografar sistemas, reduzindo o risco de detecção e acelerando o ciclo de ataque. O Departamento de Justiça dos EUA oferece recompensa de **$10 milhões** por informações sobre o grupo. ## Visão Geral **Cl0p** é rastreado como TA505 pela Proofpoint, FIN11 pela Mandiant e Lace Tempest pela Microsoft (DEV-0950). O grupo opera como um ecossistema criminoso semi-estruturado com núcleo técnico fixo responsável pelo desenvolvimento de exploits e afiliados que executam as operações de extorsão. **Características operacionais distintivas:** - **Zero-day como serviço**: o grupo acumula zero-days em plataformas MFT (gerenciamento de transferência de arquivos) e os monetiza em campanhas massivas contra múltiplos alvos simultaneamente - **Extorsão sem criptografia**: desde 2023, o modelo padrão é exfiltrar dados e ameaçar públicação em vez de criptografar sistemas - mais furtivo, mais rápido, menos risco de detecção - **Site de vazamento Tor**: cl0p.onion pública dados de vítimas que não pagam resgaté, com contagem regressiva pública - **Escala sem precedentes**: MOVEit 2023 comprometeu 3.000+ organizações nos EUA e 8.000+ globalmente em menos de 30 dias - **Foco em dados regulatórios**: alvos frequentes incluem empresas com dados HIPAA, PCI-DSS e GDPR - aumenta pressão de pagamento **Conexão TA505/FIN11**: o Cl0p tem sobreposição significativa de TTPs, infraestrutura e afiliados com o TA505 (distribuidor de ransomware desde 2014) e FIN11 (especialista em movimentação lateral em redes financeiras). Muitos pesquisadores os tratam como o mesmo grupo em diferentes fases. ```mermaid graph TB A["Reconhecimento Identificação de MFT servers publicos expostos"] --> B["Zero-Day Exploit CVE em plataforma MFT T1190 - sem autenticação"] B --> C["Webshell LEMURLOOT Acesso persistente T1505.003 - ASP.NET webshell"] C --> D["Coleta Massiva Scripts PowerShell T1005 - dados corporativos"] D --> E["Exfiltração em Lotes HTTPS para C2 T1048 - protocolo alternativo"] E --> F["Extorsao Negociacao via Tor Prazo 72h ou publicacao"] style A fill:#1a5276,color:#fff style B fill:#c0392b,color:#fff style C fill:#922b21,color:#fff style D fill:#2980b9,color:#fff style E fill:#196f3d,color:#fff style F fill:#7b241c,color:#fff ``` ## Campanhas Documentadas ### MOVEit Transfer Zero-Day - CVE-2023-34362 (Maio-Junho 2023) A maior campanha do grupo e um dos maiores ataques de supply chain da história: - **Zero-day SQL injection** no MOVEit Transfer (Progress Software) explorado antes de divulgação pública - **3.000+ organizações nos EUA** comprometidas; **8.000+ globalmente** - Vítimas notáveis: NHS UK, Shell, Sony, Siemens Energy, múltiplas agências federais dos EUA (DoE, HHS) - CISA emitiu alerta de emergência em 1 de junho de 2023 - Cl0p usou [[lemurloot|LEMURLOOT]] (webshell ASP.NET) para acesso persistente e coleta **Impacto**: mais de 90 milhões de registros de dados pessoais comprometidos; CISA, FBI e NCSC UK emitiram alertas conjuntos. ### GoAnywhere MFT - CVE-2023-0669 (Fevereiro 2023) Seis semanas antes do MOVEit, o grupo explorou o GoAnywhere MFT (Fortra): - **130+ organizações** comprometidas em menos de 2 semanas - Procter & Gamble, Royal GoTo, Hitachi Energy entre as vítimas confirmadas - Exploração via RCE zero-day sem autenticação nos endpoints de administração ### Cleo MFT - CVE-2024-50623 e CVE-2024-55956 (Outubro-Dezembro 2024) Nova onda de ataques MFT explorando Cleo Harmony, VLTrader e LexiCom: - **CVE-2024-50623**: file upload sem autenticação em diretório público (CVSS 9.8) - **CVE-2024-55956**: bypass do patch anterior - nova variante exploitada antes de correção - ~200 organizações comprometidas; Cleo é amplamente usado em supply chains de varejo e logística ### Oracle EBS - CVE-2025-61882 (2025) Em 2025, o grupo expandiu para Oracle E-Business Suite (EBS): - Exploração de RCE em Oracle EBS exposto na internet - Foco em empresas Fortune 500 com dados financeiros e de RH críticos ### Accellion FTA - CVE-2021-27101 (Dezembro 2020) Primeira grande campanha MFT do grupo: - Zero-day no Accellion File Transfer Appliance (software legado) - Reserve Bank of New Zealand, Kroger, Jones Day entre as vítimas - Exfiltração antes que patch fosse disponibilizado ## Arsenal | Ferramenta | Tipo | Função | |-----------|------|--------| | [[lemurloot\|LEMURLOOT]] | Webshell ASP.NET | Acesso persistente em servidores MFT comprometidos - coleta e exfiltração | | [[truebot\|TrueBot]] | Loader | Downloader inicial para campanhas com acesso por email | | [[flawedammyy\|FlawedAmmyy]] | RAT | Acesso remoto para operações de movimentação lateral | | [[s0154-cobalt-strike\|Cobalt Strike]] | C2 Framework | Pos-comprometimento em alvos de alto valor | | Scripts PowerShell customizados | Automacao | Coleta e exfiltração em massa de dados MFT | ## TTPs Mapeados | Tática | Técnica | ID | Descrição | |--------|---------|----|-----------| | Initial Access | Exploit Public App | [[t1190-exploit-public-facing-application\|T1190]] | Zero-days em MFT: MOVEit, GoAnywhere, Cleo, Accellion | | Persistence | Web Shell | [[t1505-003-web-shell\|T1505.003]] | LEMURLOOT ASP.NET para acesso persistente pos-exploit | | Collection | Data from Local System | [[t1005-data-from-local-system\|T1005]] | Scripts PowerShell coletam dados de usuarios e logs MFT | | Exfiltration | Alternative Protocol | [[t1048-exfiltration-alternative-protocol\|T1048]] | Exfiltração via HTTPS para C2 em lotes fragmentados | | Impact | Encrypt Data | [[t1486-data-encrypted-for-impact\|T1486]] | Ransomware clássico em campanhas pré-2022; extorsao pura pós-2023 | | Defense Evasion | Obfuscation | [[t1027-obfuscated-files-or-information\|T1027]] | Payloads ofuscados; LEMURLOOT se disfarça como arquivo legítimo | ## Timeline ```mermaid timeline title Cl0p - Linha do Tempo 2019 : Surgimento do Cl0p ransomware : Primeira versao Windows/Linux 2020-12 : Accellion FTA zero-day : CVE-2021-27101 explorado antes do patch 2021 : Expansao de campanhas de email : TrueBot e FlawedAmmyy como vetores 2022 : Transferencia de foco para MFT : Modelo de extorsao-sem-criptografia 2023-02 : GoAnywhere zero-day CVE-2023-0669 : 130+ organizacoes em 2 semanas 2023-05 : MOVEit zero-day CVE-2023-34362 : 8.000+ organizacoes comprometidas : CISA/FBI alerta de emergencia 2023-06 : DoJ anuncia recompensa $10M 2024-10 : Cleo MFT zero-day CVE-2024-50623 : 200+ organizacoes atingidas 2025 : Oracle EBS CVE-2025-61882 : Expansao para ERPs corporativos ``` ## Relevância para o Brasil e LATAM > [!danger] Risco ALTO - Brasil Listado como Alvo, MOVEit Amplamente Usado > O Brasil possui alta concentração de usuários de plataformas MFT (MOVEit, GoAnywhere, Cleo) em setores financeiro, saúde, jurídico e governo - perfil exato de alvos Cl0p. Organizações brasileiras foram afetadas pelas campanhas MOVEit 2023 e Cleo 2024, embora muitos casos não sejam divulgados públicamente. O modelo de extorsão pura (sem criptografia) torna os ataques mais difíceis de detectar e pode resultar em violações de LGPD com impacto regulatório significativo. **Organizações brasileiras em risco prioritário:** - **Bancos e fintechs**: transferência de dados financeiros via MOVEit/GoAnywhere entre parceiros - **Hospitais e planos de saúde**: MOVEit usado para troca de dados TISS/ANS - dados sensíveis de pacientes - **Escritórios de advocacia**: transferência segura de documentos legais - dados M&A e processos sigilosos - **Governo federal**: agências que usam plataformas MFT para troca de dados interministeriais **Indicadores imediatos de ação:** - Inventariar uso de MOVEit, GoAnywhere, Cleo e Accellion no ambiente - Aplicar patches com urgência nas versões afetadas pelos CVEs listados - Monitorar `\MOVEitTransfer\wwwroot\` para arquivos `.aspx` não autorizados (LEMURLOOT) ## Detecção | Indicador | Técnica de Detecção | |-----------|---------------------| | Arquivo `.aspx` novo em diretório web do MOVEit/GoAnywhere | Monitoramento de integridade de arquivos (FIM) em diretórios MFT | | Queries SQL anomalas no banco do MOVEit Transfer | SIEM: alertas para SQLi em logs de BD do MFT | | Grandes downloads de arquivos de usuarios desconhecidos | DLP: alertas para exfiltração de dados em massa via MFT | | Processo `w3wp.exe` executando PowerShell | EDR: detecção de webshell via IIS worker process | | Conexões saindo do servidor MFT para IPs externos incomuns | NDR: análise de tráfego de saída de servidores de transferência | | Arquivo LEMURLOOT (`human2.aspx`) em wwwroot | IOC: hash SHA256 - verificar com threat intel feeds | ## Referências - [1](https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-158a) CISA/FBI - #StopRansomware: CL0P Ransomware Gang Exploits MOVEit (Jun 2023) - [2](https://www.mandiant.com/resources/blog/zero-day-moveit-data-theft) Mandiant - Zero-Day Vulnerability in MOVEit Transfer Exploited by Cl0p (Jun 2023) - [3](https://www.microsoft.com/en-us/security/blog/2023/06/02/lace-tempest-qanda-about-cl0p-ransomware/) Microsoft - Lace Tempest / Cl0p MOVEit Analysis (Jun 2023) - [4](https://unit42.paloaltonetworks.com/clop-ransomware-evolution/) Unit 42 - Cl0p Ransomware Evolution and Tactics (2024) - [5](https://www.proofpoint.com/us/blog/threat-insight/ta505-exploiting-fortra-goanywhere-managed-file-transfer) Proofpoint - TA505 GoAnywhere Exploitation (Mar 2023) - [6](https://www.huntress.com/blog/critical-vulnerabilities-in-cleo-file-transfer-software) Huntress - Critical Cl0p Exploitation of Cleo MFT (Dec 2024) **Atores relacionados:** [[g0046-fin7|FIN7]] · [[lockbit|LockBit]] · [[g1024-akira|Akira]] **Malware e ferramentas:** [[lemurloot|LEMURLOOT]] · [[truebot|TrueBot]] · [[s0154-cobalt-strike|Cobalt Strike]] **CVEs exploradas:** [[cve-2023-34362|CVE-2023-34362 MOVEit]] · [[cve-2023-0669|CVE-2023-0669 GoAnywhere]] · [[cve-2024-55956|CVE-2024-55956 Cleo]] **TTPs principais:** [[t1190-exploit-public-facing-application|T1190]] · [[t1505-003-web-shell|T1505.003]] · [[t1048-exfiltration-over-alternative-protocol|T1048]] · [[t1486-data-encrypted-for-impact|T1486]] **Setores alvejados:** [[financial|Financeiro]] · [[healthcare|Saúde]] · [[government|Governo]] · [[technology|Tecnologia]]