ta505 - RunkIntel

# TA505 > [!danger] Cl0p/TA505 - Grupo de Ransomware Mais Prolífico em Q1 2025 > TA505/Cl0p registrou **392 vitimas públicamente nomeadas** em Q1 2025 - maior volume de qualquer grupo de ransomware no período, com crescimento de **1.028% em 30 dias** segundo telemetria DarkWebSonar. O grupo operacionaliza campanhas de massa via zero-days em plataformas de transferencia de arquivos (MOVEit, Cleo, GoAnywhere, Accellion), afetando simultaneamente centenas de organizacoes. Modelo atual: **extorsao pura sem criptografia** - roubo de dados + ameaça de vazamento. ## Visão Geral TA505 e um dos grupos cibercriminosos mais sofisticados, prolíficos e de maior impacto financeiro do mundo, ativo desde pelo menos 2014 e com origem provavel na Russia/CIS. O grupo opera o **Cl0p ransomware como RaaS**, atua como **initial access broker (IAB)** vendendo acesso a redes comprometidas, e historicamente foi o **maior distribuidor de phishing e malspam do planeta**. O modelo operacional de TA505 evoluiu radicalmente: de campanhas massivas de phishing distribuindo Dridex e Locky (2014-2018) para um modelo de **exploitacao em massa de zero-days em plataformas de transferencia de arquivos** (2020-2025), comprometendo centenas de organizacoes simultaneamente via um único vetor. Em 2025, o grupo migrou para **extorsao sem criptografia** - focando exclusivamente em exfiltração de dados e ameaças de vazamento, sem implantar ransomware tradicional. TA505 vitimizou mais de 3.000 organizacoes nos EUA e 8.000 globalmente, acumulando centenas de milhões de dólares em pagamentos de criptomoedas. **Também conhecido como:** Graceful Spider, Gold Tahoe, FIN11, Chimborazo, Spandex Tempest, Lace Tempest ## Evolução do Modelo Operacional ```mermaid graph TB A["2014-2018 Phishing massivo Dridex / Locky ransomware"] --> B["2019-2020 Cl0p RaaS lancado dupla extorsao iniciada"] B --> C["2020-2021 Accellion FTA zero-days 100 empresas afetadas"] C --> D["2023 - GoAnywhere CVE-2023-0669 130 empresas / 10 dias"] D --> E["2023 - MOVEit CVE-2023-34362 2.000 vitimas estimadas"] E --> F["2024-2025 - Cleo CVE-2024-55956 300+ vitimas / extorsao pura"] classDef phase1 fill:#1a5276,color:#fff,stroke:#154360 classDef phase2 fill:#8e44ad,color:#fff,stroke:#6c3483 classDef phase3 fill:#e67e22,color:#fff,stroke:#d35400 classDef phase4 fill:#c0392b,color:#fff,stroke:#922b21 classDef phase5 fill:#7b241c,color:#fff,stroke:#641e16 classDef phase6 fill:#196f3d,color:#fff,stroke:#145a32 class A phase1 class B phase2 class C phase3 class D phase4 class E phase5 class F phase6 ``` ## Attack Flow - Campanha de Massa (Modelo 2024-2025) ```mermaid graph TB A["Reconhecimento Scan massivo de instancias Cleo / MOVEit expostas"] --> B["Exploração Zero-Day Autorun dir manipulation CVE-2024-55956 Cleo"] B --> C["Web Shell Deploy DEWMODE / Lemurloot persistência no MFT"] C --> D["Exfiltração Automatizada Dados de clientes / PII para infraestrutura TA505"] D --> E["Nomeacao de Vitimas DLS Cl0p^_-Leaks ameaça de publicacao"] E --> F["Extorsao Dirigida Contato com executivos quadrupla extorsao"] classDef recon fill:#34495e,color:#fff,stroke:#2c3e50 classDef exploit fill:#c0392b,color:#fff,stroke:#922b21 classDef shell fill:#e67e22,color:#fff,stroke:#d35400 classDef exfil fill:#8e44ad,color:#fff,stroke:#6c3483 classDef name fill:#1a5276,color:#fff,stroke:#154360 classDef extort fill:#196f3d,color:#fff,stroke:#145a32 class A recon class B exploit class C shell class D exfil class E name class F extort ``` ## CVEs Explorados - Historico de Campanhas | CVE | Produto | Ano | Vitimas Estimadas | | --- | ------- | --- | ----------------- | | [[cve-2021-27101\|CVE-2021-27101]] | Accellion FTA | 2020 | ~100 empresas | | [[cve-2023-0669\|CVE-2023-0669]] | Fortra GoAnywhere | 2023 | 130 empresas | | [[cve-2023-34362\|CVE-2023-34362]] | Progress MOVEit | 2023 | ~2.000 organizacoes | | [[cve-2024-55956\|CVE-2024-55956]] | Cleo Harmony/VLTrader | 2024 | 300+ empresas | ## Técnicas Utilizadas - [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] - [[t1566-001-spearphishing-attachment|T1566.001 - Spearphishing Attachment]] - [[t1059-001-powershell|T1059.001 - PowerShell]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1505-003-web-shell|T1505.003 - Web Shell]] - [[t1021-001-remote-desktop-protocol|T1021.001 - Remote Desktop Protocol]] - [[t1486-data-encrypted-for-impact|T1486 - Data Encrypted for Impact]] - [[t1567-002-exfiltration-to-cloud-storage|T1567.002 - Exfiltration to Cloud Storage]] - [[t1078-valid-accounts|T1078 - Valid Accounts]] - [[t1003-001-lsass-memory|T1003.001 - LSASS Memory]] - [[t1562-001-disable-or-modify-tools|T1562.001 - Disable or Modify Tools]] - [[t1490-inhibit-system-recovery|T1490 - Inhibit System Recovery]] - [[t1074-001-local-data-staging|T1074.001 - Local Data Staging]] ## Software Utilizado - [[s0611-clop-ransomware|Cl0p Ransomware]] - [[s0384-dridex|Dridex]] - [[flawedammyy|FlawedAmmyy]] - [[s0383-flawedgrace|FlawedGrace]] - [[s0154-cobalt-strike|Cobalt Strike]] - [[truebot|TrueBot]] - [[sdbot|SDBOT]] - [[get2-loader|Get2 Loader]] - [[dewmode|DEWMODE]] ## Relevância para o Brasil e LATAM > [!danger] Ameaça Critica - Empresas de Logistica e Manufatura Brasileiras > TA505/Cl0p vitimou **33% de empresas de bens de consumo e servicos** e **12% de logistica e transporte** em Q1 2025 - setores com forte presenca brasileira. Qualquer empresa brasileira usando **Cleo, MOVEit, GoAnywhere ou Accellion** para transferencia segura de arquivos e potencialmente vulnerável. O grupo nao discrimina por regiao geografica - opera em massa contra qualquer instancia vulnerável exposta na internet. O modelo de **extorsao pura sem criptografia** e particularmente perigoso: as organizacoes frequentemente nao detectam a intrusão até receber a ameaça de públicacao de dados. Empresas brasileiras com cadeias de fornecimento internacionais (exportacao agricola, manufatura, farmaceutica) que utilizam soluções MFT (Managed File Transfer) sao alvos prioritarios. Em 2025, o grupo voltou ao topo como grupo mais ativo globalmente - evidência de que TA505 nao vai desaparecer e continua inovando em exploitacao de software amplamente utilizado. **Recomendação imediata:** auditoria de todas as instancias de software MFT em uso e verificação de patches contra CVEs de TA505. --- *Fontes: [Canadian Centre for Cyber Security](https://www.cyber.gc.ca/en/guidance/profile-ta505-cl0p-ransomware) | [Check Point Q1 2025](https://blog.checkpoint.com/research/the-state-of-ransomware-in-the-first-quarter-of-2025-a-126-increase-in-ransomware-yoy/) | [DarkWebSonar CL0P](https://darkwebsonar.io/blog/dark-web-most-wanted-2025-cl0p/)*