La conocida banda de ransomware Clop (CL0P) ha intensificado sus operaciones a comienzos de este 2025, centrándose en sectores críticos, como las telecomunicaciones o la salud.
Este grupo usa técnicas sofisticadas y explota vulnerabilidades zero-day para infiltrarse en los sistemas, robar datos sensibles y extorsionar a las víctimas.
Solo en lo que va de febrero estos actores de amenazas habrían perpetrado 80 ataques, lo que muestra su enfoque en campañas de gran escala, según informa GBHackers.
La cifra sorprende teniendo en cuenta que 2024 había sido más tranquilo, con 27 perjudicados nada más. Nada que ver con la locura de 2023, con 384 infracciones, por la brecha de MOVEit.
Estas cifras bailan un poco si se comparan con las aportadas por la firma de gestión de amenazas externas Cyfirma. Según la misma, Clop fue la segunda banda más activa en enero con 60 ataques, 8 menos que en diciembre.
Buscando agujeros en el software empresarial
A finales de diciembre Clop explotó una vulnerabilidad en las herramientas de transferencia de archivos de la firma Cleo Software, que se usan ampliamente en el ámbito corporativo.
La vulnerabilidad, identificada como CVE-2024-50623, permitía cargas y descargas remotas de archivos en los productos Cleo Lexicom, VLTrader y Harmony, lo que provocaba acceso no autorizado y robo de datos.
A través de este agujero de seguridad la banda en teoría pudo haber obtenido datos sensibles de unas 66 empresas, que incluyó en un listado. Además, el grupo de ciberdelincuentes dejó caer que la cifra de víctimas podía ser bastante superior.
En total más de 4.000 clientes utilizan las herramientas para transferir archivos de Cleo.
Clop ransomware se ha caractrerizado por localizar brechas de seguridad en herramientas con mucha penetración en el mundo corporativo. En el pasado la banda se ha aprovechado de vulnerabilidades en Accellion FTA, GoAnywhere MFT y en MOVEit Transfer.
Clop se embolsó por este incidente con tantas ramificaciones más de 100 millones de dólares.
