# Clop Ransomware > Tipo: **ransomware / extorsao em massa** - S0611 - [MITRE ATT&CK](https://attack.mitre.org/software/S0611) > [!danger] Especialista em Explorar Zero-Days em Software de Transferencia de Arquivos - 2.500+ Vitimas GOAnywhere e MOVEit > O Cl0p e o grupo de ransomware mais eficiente na exploração de zero-days em plataformas MFT (Managed File Transfer). Em 2023, explorou o GoAnywhere (CVE-2023-0669) atingindo 130 vitimas em 10 dias, seguido do MOVEit Transfer (CVE-2023-34362) comprometendo 2.500+ organizacoes globalmente. Opera sob o grupo [[ta505|TA505]] e tem como diferencial nao exigir pagamento de individuos - somente corporacoes. ## Visão Geral [[s0611-clop-ransomware|Clop]] (escrito como Cl0p pelo grupo) e um ransomware de dupla extorsao ativo desde **fevereiro de 2019** e rastreado pelo MITRE como **S0611**. Desenvolvido e operado pelo grupo [[ta505|TA505]] - um dos mais prolixos do ecossistema de cibercrime - o Cl0p tem como caracteristica distintiva a **exploração estratégica de vulnerabilidades em software corporativo**, especialmente plataformas de Managed File Transfer (MFT). A estratégia do Cl0p e sistematicamente diferente da maioria dos grupos de ransomware: em vez de criptografar dados de todas as vitimas, o grupo frequentemente foca apenas na **exfiltração de dados** para extorsao pura, especialmente em campanhas de exploração em massa. Isso reduz o tempo de operação e aumenta o número de vitimas em cada campanha. As duas campanhas mais impactantes foram: - **GoAnywhere MFT (ján/2023):** Explorou CVE-2023-0669 (zero-day) afetando ~130 organizacoes em 10 dias, incluindo Procter & Gamble, Virgin, Rubrik e municipios dos EUA - **MOVEit Transfer (mai/2023):** Explorou CVE-2023-34362 (zero-day SQL Injection), implantando o webshell LEMURLOOT. **2.500+ organizacoes** afetadas em todo o mundo, incluindo agencias federais dos EUA, BBC, British Airways e Shell **Plataformas:** Windows ## Como Funciona O Cl0p opera com dois modelos distintos conforme o tipo de campanha: **Modelo Tradicional (acesso de rede):** 1. **Acesso inicial via phishing:** Emails maliciosos com macros Office ([[t1566-001-spearphishing-attachment|T1566.001]]) para acesso inicial em redes corporativas 2. **Movimento lateral e reconhecimento:** Ferramentas como Cobalt Strike, AdFind e BITSAdmin para mapear a rede 3. **Desativacao de defesas:** Scripts PowerShell ([[t1059-001-powershell|T1059.001]]) param servicos de AV, backup e banco de dados ([[t1562-001-disable-or-modify-tools|T1562.001]] + [[t1489-service-stop|T1489]]) 4. **Criptografia e nota:** Criptografia RC4/AES hibrida com extensao `.clop`, nota `ClopReadMe.txt` **Modelo MFT Zero-Day (campanha em massa):** 1. **Exploração da vulnerabilidade:** Acessa diretamente a interface web da plataforma MFT ([[t1190-exploit-public-facing-application|T1190]]) 2. **Instalacao de webshell LEMURLOOT:** Webshell ASPX instalado para acesso persistente 3. **Exfiltração de dados:** Coleta e exporta todos os arquivos armazenados na plataforma ([[t1005-data-from-local-system|T1005]]) 4. **Extorsao pura:** Ameaça de públicacao dos dados sem necessáriamente criptografar - modelo mais rapido e escalavel ([[t1657-financial-theft|T1657]]) ```mermaid graph TB A["Zero-Day MFT<br/>GoAnywhere / MOVEit<br/>T1190 - Sem autenticação"] --> B["Webshell LEMURLOOT<br/>Acesso persistente<br/>ASPX no servidor MFT"] B --> C["Coleta de arquivos<br/>Todos os dados da plataforma<br/>T1005 + T1074.001"] C --> D["Exfiltração em massa<br/>130+ ou 2500+ vitimas<br/>Dados corporativos sensiveis"] D --> E["Site de extorsao Cl0p<br/>Prazo: pagar ou publicar<br/>T1657 - Dupla extorsao"] E --> F["Publicacao parcial<br/>Vazamento gradual<br/>Pressao crescente na vitima"] classDef exploit fill:#e74c3c,color:#fff classDef webshell fill:#8e44ad,color:#fff classDef collect fill:#2980b9,color:#fff classDef exfil fill:#e67e22,color:#fff classDef extort fill:#c0392b,color:#fff classDef leak fill:#2c3e50,color:#fff class A exploit class B webshell class C collect class D exfil class E extort class F leak ``` ## Timeline ```mermaid timeline title Clop Ransomware - Historico Fev 2019 : Primeira amostra Cl0p identificada : Derivado do CryptoMix - TA505 assume operação 2020-2021 : Ataques a farmaceuticas e hospitais : University of California San Francisco paga resgaté Ján 2023 : GoAnywhere Zero-Day CVE-2023-0669 : 130 vitimas em 10 dias - P&G, Virgin, Rubrik Mai 2023 : MOVEit Transfer Zero-Day CVE-2023-34362 : 2.500+ organizacoes - BBC, British Airways, Shell Jun 2023 : CISA Advisory AA23-158A - MOVEit : Agencias federais EUA afetadas 2024-2025 : Cl0p continua ativo com novos alvos MFT ``` ## Técnicas Utilizadas | Tática | ID | Técnica | |--------|-----|---------| | Initial Access | [[t1190-exploit-public-facing-application\|T1190]] | Zero-day em GoAnywhere e MOVEit | | Initial Access | [[t1566-001-spearphishing-attachment\|T1566.001]] | Phishing com documentos macro | | Execution | [[t1059-001-powershell\|T1059.001]] | Scripts de desativacao de defesas | | Execution | [[t1059-003-windows-command-shell\|T1059.003]] | Comandos cmd para operações de sistema | | Defense Evasion | [[t1562-001-disable-or-modify-tools\|T1562.001]] | Para processos de AV e backup | | Defense Evasion | [[t1497-003-time-based-checks\|T1497.003]] | Verifica data/hora para evasão de sandbox | | Collection | [[t1005-data-from-local-system\|T1005]] | Coleta todos os arquivos do servidor MFT | | Collection | [[t1074-001-local-data-staging\|T1074.001]] | Prepara dados para exfiltração | | Impact | [[t1486-data-encrypted-for-impact\|T1486]] | Criptografia RC4/AES nos ataques tradicionais | | Impact | [[t1489-service-stop\|T1489]] | Para servicos antes da criptografia | | Impact | [[t1657-financial-theft\|T1657]] | Extorsao com ameaça de públicacao | ## Relevância LATAM/Brasil O [[s0611-clop-ransomware|Cl0p]] tem impacto direto no Brasil pelo uso extensivo de plataformas MFT (GoAnywhere, MOVEit, Progress Software) por grandes corporacoes brasileiras. A campanha MOVEit de 2023 afetou organizacoes em mais de 60 paises - qualquer empresa brasileira usando o MOVEit Transfer sem o patch de emergência em maio de 2023 foi potencialmente comprometida. O [[ta505|TA505]], operador do Cl0p, e um dos grupos mais prolixos e com campanhas de phishing em múltiplos idiomas, incluindo portugues. O risco para o Brasil e particularmente alto em setores que utilizam plataformas MFT para compartilhamento de documentos financeiros e dados de saúde: bancos, seguradoras, operadoras de saúde e orgaos governamentais que usam essas plataformas sao alvos potenciais. **Setores impactados:** [[financial|financeiro]] - [[healthcare|saúde]] - [[government|governo]] - [[technology|tecnologia]] - energia ## Detecção - Verificar imediatamente qualquer instancia de GoAnywhere MFT ou MOVEit Transfer com patches de segurança pendentes - Monitorar criação de arquivos `.aspx` em diretorios web de plataformas MFT - indicador de webshell LEMURLOOT - Alertar para conexoes de saida volumosas de servidores MFT para destinos externos incomuns - Detectar criação de arquivos `ClopReadMe.txt` em diretorios compartilhados ```sigma title: Clop LEMURLOOT Webshell Detection on MFT Servers status: stable logsource: category: file_event product: windows detection: selection: TargetFilename|endswith: '.aspx' TargetFilename|contains: - '\MOVEitTransfer\wwwroot\' - '\GoAnywhere\' - '\inetpub\wwwroot\' condition: selection level: critical tags: - attack.initial_access - attack.t1190 - code/distill ``` ## Referências - [1](https://attack.mitre.org/software/S0611) MITRE ATT&CK - S0611 Clop (2024) - [2](https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-158a) CISA/FBI - AA23-158A StopRansomware CL0P MOVEit (2023) - [3](https://www.ic3.gov/CSA/2023/230607.pdf) FBI/CISA - CL0P Exploits CVE-2023-34362 MOVEit (2023) - [4](https://www.cyber.gc.ca/en/guidance/profile-ta505-cl0p-ransomware) Canadian Centre for Cyber Security - TA505 CL0P Profile (2024) - [5](https://www.picussecurity.com/resource/clop-ransomware-gang) Picus Security - Dissecting Cl0p Ransomware Encryption and Evasion (2024)