Ransomware Clop, otra amenaza para América Latina y México
De acuerdo con Cristian Torres, director de Marketing para Latinoamérica de Lumu Technologies, Ransomware Clop no es nuevo porque se identificó desde principios de 2019.
El grupo cibercriminal de ransomware Clop incrementó sus ataques en los últimos meses aprovechando vulnerabilidades día cero y probablemente herramientas de automatización, poniendo especial atención en México y América Latina, donde ya hay varias víctimas. Ransomware
De acuerdo con Cristian Torres, director de Marketing para Latinoamérica de Lumu Technologies, este grupo no es nuevo porque se identificó desde principios de 2019 y, un año después, incluso se detectó que aumentó su capacidad de impactar a las organizaciones añadiendo a su código fuente la posibilidad de exfiltrar datos.
Lo que nos dice nuestro equipo de inteligencia de amenazas es que tal vez Clop sea, junto con LockBit, uno de los grupos más prolíficos que se han detectado en los últimos tres años”, resaltó al platicar del asunto.
De hecho, recientemente Clop superó el récord que tenía LockBit en cuanto a víctimas nuevas reportadas en un día. Esto porque a finales de marzo pudieron, en un mismo día, reportar 26 nuevas víctimas de su actividad de ransomware como servicio.
Resaltó que las muestras del ransomware de Clop se ven mayoritariamente en EU y Latinoamérica, y México figura como el tercer país más atacado de 2019 a hoy.
¿Cómo atacan?
El director de Marketing para Latinoamérica de Lumu Technologies destacó que Clop, al ser un ransomware, puede encriptar y secuestrar dispositivos, sin embargo, se han centrado más en la exfiltración de datos, es decir, piden un rescate a las organizaciones para no hacer pública esa información robada.
El equipo de inteligencia de Lumu ha identificado diferentes técnicas que utiliza Clop para comprometer las redes de las organizaciones.
Por ejemplo, para poder entrar a una organización típicamente utiliza phishing para robar las credenciales de algún empleado, y una vez dentro de la red propagarse y comprometer más dispositivos haciendo uso de diferentes tipos de código malicioso.
A esto se añade que lograron explotar una vulnerabilidad de día cero en una herramienta muy utilizada por las organizaciones para compartir archivos, es decir, GoAnywhere.
Como dicha vulnerabilidad ya es conocida por el fabricante, se lanzó un parche, aunque depende de las organizaciones instalarlo para estar protegidas.
Torres indicó que la información recabada de Clop muestra que probablemente este grupo cibercriminal tenga capacidades de automatización para identificar posibles víctimas, entre ellas empresas.
Los afectados
Este grupo cibercriminal suele anunciar a través de su portal en la Dark Web el nombre de sus víctimas, especialmente aquellas que se niegan a pagar el rescate.
Desde que fue detectado hasta hoy figuran nombres de grandes empresas como Hitachi Energy o Cineplex, mientras que en México hay tres posibles organizaciones afectadas que son Volaris, Grupo Floraplant y la Caja Popular San Rafael. Para Torres, esas organizaciones en México puede que no hayan hablado del tema porque no están seguras si realmente fueron vulneradas o no.
«Probablemente si hoy vas y le preguntas a una de ellas, no te admitan la exfiltración porque, primero, es difícil de identificar y, segundo, porque el modus operandi de Clop no siempre llega a encriptación”.