Los ciberataques ya no son algo que solo les pasa a grandes corporaciones o que queda en titulares de noticias lejanas. Hoy en día, son una amenaza real que puede afectar a cualquier empresa y, en muchos casos, terminar impactándonos a todos de alguna forma. Un caso reciente que ha encendido las alarmas es el ataque del grupo de ransomware Clop a Cleo, una empresa reconocida por desarrollar plataformas de transferencia segura de archivos como Cleo Harmony, VLTrader y LexiCom. Estas herramientas son utilizadas por empresas de todo el mundo para intercambiar datos críticos con socios y clientes.
Clop no solo se atribuyó el ataque, sino que además utilizó exploits de día cero, una de las técnicas más peligrosas en el mundo de la ciberseguridad, para violar las redes corporativas y robar información sensible. Este tipo de incidentes no solo comprometen datos importantes, sino que también ponen en evidencia las vulnerabilidades que muchas compañías subestiman.
En octubre, Cleo lanzó un parche para corregir una vulnerabilidad conocida como CVE-2024-50623. Esta falla permitía que archivos se subieran o descargaran sin restricciones, lo que abría la puerta a la ejecución remota de código. Sin embargo, el parche no solucionó por completo el problema.
La semana pasada, la firma de ciberseguridad Huntress descubrió que los ciberdelincuentes seguían explotando una brecha en el sistema, ahora identificada como CVE-2024-55956. Esta nueva vulnerabilidad les permitía cargar una puerta trasera en JAVA, con la cual podían robar datos, ejecutar comandos maliciosos y moverse libremente por la red comprometida.
El viernes, CISA confirmó que estas vulnerabilidades en el software de transferencia de archivos de Cleo (Harmony, VLTrader y LexiCom) habían sido utilizadas en ataques de ransomware. Sin embargo, lo que llama la atención es que Cleo nunca informó públicamente que la falla original, la que intentaron corregir en octubre, ya estaba siendo aprovechada por los atacantes.
Ransomware Clop Confirma su Responsabilidad en los Ataques de Robo de Datos a Cleo
Inicialmente, se pensaba que una nueva banda de ransomware, conocida como Termite, estaba detrás de los ataques a Cleo. Sin embargo, el método utilizado en estos incidentes resultó ser muy similar al de ataques anteriores llevados a cabo por el grupo de ransomware Clop.
El martes de la semana pasada, Clop finalmente confirmó que ellos están detrás de la explotación de la vulnerabilidad CVE-2024-55956, descubierta recientemente por Huntress, así como de la explotación previa de la vulnerabilidad CVE-2024-50623, que Cleo intentó corregir en octubre. Esto deja claro que Clop sigue siendo una de las bandas de ransomware más activas y peligrosas, utilizando fallas de seguridad para ejecutar robos de datos a gran escala.
"En cuanto a CLEO, fue nuestro proyecto (incluido el cleo anterior) el que se completó con éxito. Toda la información que almacenamos, cuando trabajamos con ella, respetamos todas las medidas de seguridad. Si se trata de datos de servicios gubernamentales, instituciones, medicinas, entonces los eliminaremos inmediatamente sin dudarlo (permítanme recordarles la última vez que fue con moveit: se eliminaron todos los datos gubernamentales, de medicinas, clínicas, datos de investigación científica a nivel estatal), cumplimos con nuestras normas. Con amor © CL0P^_". Ransomware Clop.
La banda de ransomware Clop anunció que eliminará los datos relacionados con ataques pasados de su servidor de filtración y que, a partir de ahora, solo se enfocará en trabajar con las empresas afectadas recientemente en los ataques a Cleo.
En un mensaje publicado en su sitio de filtración de datos, Clop escribió:
“Estimadas empresas, debido a los recientes acontecimientos (ataque a CLEO), todos los enlaces a los datos de todas las empresas serán desactivados y los datos serán eliminados permanentemente de los servidores. Trabajaremos solo con nuevas empresas”.
El mensaje, que cerraba con un irónico “Feliz Año Nuevo © CL0P^_ a todas las víctimas de su sitio de filtración de datos”, deja claro que el grupo sigue en su actividad delictiva, aunque intenta "limpiar" su imagen ante los afectados de ataques previos. Un movimiento curioso, pero que no quita la gravedad de sus acciones.
Mensaje en el sitio de extorsión CL0P^_- LEAKS (Fuente: BleepingComputer)
Cuando se les preguntó cuántas empresas habían sido afectadas, los miembros de Clop respondieron que no podían dar una cifra exacta, pero que habían sido "bastantes". También se les preguntó sobre el inicio de los ataques y si tenían algún tipo de relación con la banda de ransomware Termite, pero no dieron respuesta a esas preguntas.
Podría interesarte leer: Entendiendo el Movimiento Lateral en los Ataques de Ransomware
Clop: Una banda de ransomware que apunta a plataformas de transferencia de archivos
Clop, también conocida como TA505 o Cl0p, apareció en 2019 atacando empresas con una variante del ransomware CryptoMix. Como muchas otras bandas de ransomware, su estrategia inicial consistía en infiltrarse en redes corporativas, moverse lateralmente a través de los sistemas y robar datos sensibles antes de desplegar el ransomware para cifrar los dispositivos y exigir un rescate.
Sin embargo, desde 2020, Clop cambió su enfoque y se especializó en explotar vulnerabilidades desconocidas (también conocidas como "días cero") en plataformas de transferencia segura de archivos, un método que les ha permitido llevar a cabo algunos de los ataques más devastadores de los últimos años.
- Diciembre de 2020: Clop utilizó un día cero en la plataforma de transferencia segura de archivos Accellion FTA, afectando a casi 100 organizaciones.
- 2021: La banda explotó otra vulnerabilidad en el software FTP SolarWinds Serv-U, logrando robar datos y comprometer redes corporativas.
- 2023: Atacaron un día cero en GoAnywhere MFT, lo que les permitió robar datos de más de 100 empresas.
- MOVEit (2023): Su golpe más grande hasta la fecha llegó con la explotación de una vulnerabilidad en la plataforma MOVEit Transfer, lo que resultó en el robo de datos de 2,773 organizaciones, según datos de Emsisoft.
Ahora, con el ataque a Cleo, Clop sigue apuntando a plataformas críticas utilizadas para el intercambio de datos sensibles. Aunque aún no se sabe exactamente cuántas empresas fueron afectadas en este caso, su historial demuestra que su objetivo es maximizar el impacto al apuntar a tecnologías ampliamente utilizadas.
Ante la creciente amenaza de Clop, el Departamento de Estado de EE.UU. ha puesto en marcha su programa de Recompensas por la Justicia, ofreciendo hasta 10 millones de dólares por información que relacione a esta banda con algún gobierno extranjero. Esto refleja la seriedad con la que se están tratando las acciones de Clop y otras bandas de ransomware, dado el impacto global que tienen sus ataques.
Los ataques de Clop son un claro recordatorio de que ninguna empresa está completamente a salvo, especialmente aquellas que dependen de plataformas de transferencia de datos. Reforzar la seguridad de estas herramientas y aplicar parches de forma inmediata sigue siendo una de las mejores defensas contra este tipo de amenazas.
¿Cómo las empresas pueden protegerse de ataques de ransomware?
El ransomware no es solo un problema para las grandes corporaciones; cualquier empresa, sin importar su tamaño, puede ser un objetivo. Bandas como Clop han demostrado que están dispuestas a explotar cualquier vulnerabilidad para robar datos y exigir rescates multimillonarios. La buena noticia es que hay formas efectivas de proteger tu negocio contra este tipo de ataques. Aquí te compartimos las mejores prácticas para reducir riesgos y estar preparado ante estas amenazas:
- Haz copias de seguridad (¡y guárdalas bien!): Tener copias de seguridad regulares y desconectadas del sistema principal es una de las mejores formas de evitar pagar un rescate. Si tus datos están a salvo en otro lugar, siempre podrás recuperarlos sin depender de los hackers.
- Segmenta tu red: Piensa en la segmentación como dividir tu casa en habitaciones con cerradura. Si un intruso logra entrar en una, no podrá acceder al resto. Esto ayuda a contener el daño si una parte de la red es vulnerada.
- Capacita a tu equipo: Los errores humanos son una puerta abierta para los ciberdelincuentes. Una simple equivocación, como hacer clic en un enlace sospechoso, puede desatar un caos. Entrena a tu personal para identificar intentos de phishing y otras tácticas comunes.
- Usa autenticación multifactor (MFA): Este paso extra de seguridad puede evitar que los atacantes accedan a tus sistemas, incluso si obtienen tus contraseñas. Es como añadir una segunda cerradura a tu puerta.
- Adopta un enfoque Zero Trust: El modelo de seguridad Zero Trust asume que nadie, ni siquiera los usuarios dentro de tu red, son completamente confiables. Este enfoque requiere verificar continuamente a cada usuario, dispositivo y sistema antes de otorgar acceso a cualquier recurso. Puede sonar estricto, pero esta filosofía ayuda a prevenir accesos no autorizados y limita los riesgos internos.
-
Invierte en monitoreo y detección de amenazas: Implementar herramientas de ciberseguridad avanzadas, como sistemas de detección de intrusos, software de monitoreo en tiempo real o un SOC como Servicio, te permite identificar actividad sospechosa antes de que el daño sea irreversible. Combinar estas herramientas con un plan de respuesta a incidentes puede ayudarte a actuar rápidamente si algo sucede.
¿Por qué es tan importante protegerse ahora?
El ataque de ransomware a Cleo, perpetrado por el grupo Clop, es un claro recordatorio de lo vulnerables que pueden ser las empresas, incluso aquellas que confían en plataformas diseñadas para la seguridad de datos. Este tipo de incidentes no solo paralizan operaciones y dañan la reputación de las compañías, sino que también ponen en riesgo la confianza de los clientes y socios comerciales.
Hoy, los datos son el recurso más valioso que tiene cualquier organización, y protegerlos no puede ser una opción. Implementar buenas prácticas, trabajar con proveedores confiables y estar al día con las últimas amenazas no solo reduce riesgos, sino que también te prepara para lo inesperado.
En TecnetOne, ofrecemos soluciones de ciberseguridad diseñadas para proteger tu empresa contra amenazas como el ransomware, ataques de phishing y vulnerabilidades críticas. Nuestro enfoque combina tecnología avanzada, monitoreo constante y asesoría especializada para garantizar la seguridad de tus datos y sistemas.
