# Clop > Tipo: **malware** · S0611 · [MITRE ATT&CK](https://attack.mitre.org/software/S0611) ## Descrição [[clop|Clop]] é uma família de ransomware observada pela primeira vez em fevereiro de 2019, utilizada pelo grupo [[ta505|TA505]] contra setores de varejo, transporte e logística, educação, manufatura, engenharia, automotivo, energia, financeiro, aeroespacial, telecomúnicações, serviços profissionais e jurídicos, saúde e alta tecnologia. O Clop é uma variante do ransomware CryptoMix e emprega a técnica de dupla extorsão - cifrando arquivos e exfiltrando dados para ameaçar públicação caso o resgaté não sejá pago. O ransomware desativa ferramentas de segurança ([[t1562-001-disable-or-modify-tools|T1562.001]]), identifica o idioma do sistema para evitar hosts em países da CEI ([[t1614-001-system-language-discovery|T1614.001]]), interrompe serviços e processos críticos ([[t1489-service-stop|T1489]]) e inibe recuperação do sistema deletando shadow copies ([[t1490-inhibit-system-recovery|T1490]]). O binário utiliza software packing ([[t1027-002-software-packing|T1027.002]]) e code signing ([[t1553-002-code-signing|T1553.002]]) com certificados legítimos para evadir detecções baseadas em assinatura. Em 2023, o Clop protagonizou uma das maiores campanhas de extorsão em massa conhecidas, explorando uma vulnerabilidade zero-day no software de transferência de arquivos MOVEit Transfer (CVE-2023-34362), comprometendo centenas de organizações globalmente incluindo agências governamentais e multinacionais. Esta operação demonstrou a capacidade do grupo para identificar e explorar vulnerabilidades em software amplamente utilizado para maximizar impacto e receita. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1518-001-security-software-discovery|T1518.001 - Security Software Discovery]] - [[t1489-service-stop|T1489 - Service Stop]] - [[t1140-deobfuscatedecode-files-or-information|T1140 - Deobfuscaté/Decode Files or Information]] - [[t1106-native-api|T1106 - Native API]] - [[t1497-003-time-based-checks|T1497.003 - Time Based Checks]] - [[t1562-001-disable-or-modify-tools|T1562.001 - Disable or Modify Tools]] - [[t1027-002-software-packing|T1027.002 - Software Packing]] - [[t1614-001-system-language-discovery|T1614.001 - System Language Discovery]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - [[t1057-process-discovery|T1057 - Process Discovery]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1553-002-code-signing|T1553.002 - Code Signing]] - [[t1112-modify-registry|T1112 - Modify Registry]] - [[t1135-network-share-discovery|T1135 - Network Share Discovery]] - [[t1490-inhibit-system-recovery|T1490 - Inhibit System Recovery]] ## Grupos que Usam - [[ta505|TA505]] ## Detecção - Monitorar deleção em massa de Volume Shadow Copies via vssadmin ou wmic ([[t1490-inhibit-system-recovery|T1490]]) - Detectar interrupção em massa de serviços via sc.exe ou net stop ([[t1489-service-stop|T1489]]) - Alertar sobre binários com certificados legítimos mas comportamento anômalo ([[t1553-002-code-signing|T1553.002]]) - Identificar varreduras de compartilhamentos de rede em horários incomuns ([[t1135-network-share-discovery|T1135]]) - Regra Sigma: processo verificando SystemDefaultLCID/SystemLanguageId para excluir países CEI antes de iniciar cifragem ([[t1614-001-system-language-discovery|T1614.001]]) ## Relevância LATAM/Brasil O [[clop|Clop]] e o grupo [[ta505|TA505]] têm histórico de ataques a organizações brasileiras e latino-americanas nos setores financeiro, logístico e educacional. A campanha MOVEit de 2023 impactou organizações em todo o mundo, incluindo entidades com presença no Brasil. O modelo RaaS do Clop, com afiliados independentes, significa que qualquer organização brasileira pode ser alvo independentemente de estratégia central. Empresas brasileiras que utilizam softwares de transferência de arquivos como GoAnywhere MFT e MOVEit devem priorizar patching e monitoramento de anomalias de transferência. ## Referências - [MITRE ATT&CK - S0611](https://attack.mitre.org/software/S0611)