{"version":"1.0","type":"rich","provider_name":"Acast","provider_url":"https://acast.com","height":250,"width":700,"html":"<iframe src=\"https://embed.acast.com/$/6775c7c6c82b0a6413df24e3/67a125a095d7c2516ad0f92e?\" frameBorder=\"0\" width=\"700\" height=\"250\"></iframe>","title":"IPGR Investigación  1 - Ransomware Clop","thumbnail_width":200,"thumbnail_height":200,"thumbnail_url":"https://open-images.acast.com/shows/6775c7c6c82b0a6413df24e3/1738614102452-3ed74e0a-910d-49dc-87b6-04fd0dfd2c23.jpeg?height=200","description":"<p>Investigación Profunda de Grupos de Ransomware</p><p>Investigación 1 - Ransomware Clop</p><p><br></p><p>1. Identificación del Grupo</p><p>Nombre: Clop</p><p>Año de aparición: 2019</p><p>Origen: Europa del Este (posiblemente Rusia o países vecinos)</p><p>Víctimas: 668 en total, 60 en 2025 hasta la fecha. Última víctima: OLAMETER.COM.</p><p>2. Perfil del Grupo</p><p>Historia y evolución: Derivado del malware CryptoMix, ha evolucionado con capacidades avanzadas, incluyendo la doble extorsión y el modelo de Ransomware-as-a-Service (RaaS).</p><p>Grandes ataques: Accellion (2020-2021), universidades, hospitales y gobiernos.</p><p>Estado actual: Continúa activo con tácticas más sofisticadas y evasivas.</p><p>3. Tácticas, Técnicas y Procedimientos (TTPs)</p><p>Infraestructura: Servidores C2 en la darknet, exfiltración de datos, sitios de fugas.</p><p>Distribución: Phishing dirigido y explotación de vulnerabilidades.</p><p>Criptografía: AES-256 y RSA-2048 para cifrado de archivos.</p><p>Persistencia: Modificación de claves de registro y uso de herramientas como PsExec y Mimikatz.</p><p>Evasión: Uso de la darknet, VPNs, proxies y exclusión geográfica de países de la CEI.</p><p>4. Flujo de Ataque</p><p>Acceso inicial: Phishing con correos maliciosos, explotación de vulnerabilidades (ej. CVE-2021-35211 en SolarWinds).</p><p>Movimiento lateral: Uso de Cobalt Strike y SDBOT para propagación en redes corporativas.</p><p>Exfiltración: Uso de herramientas como Rclone para el robo de datos.</p><p>Impacto final: Cifrado de archivos críticos y extorsión con amenazas de divulgación.</p><p>5. Impacto</p><p>Económico: Rescates de $500,000 a $20 millones, interrupción operativa y costos de recuperación.</p><p>Reputacional: Pérdida de confianza, exposición de datos sensibles y cobertura mediática negativa.</p><p>6. Victimología</p><p>Sectores afectados: Salud, educación, gobierno, finanzas, tecnología, manufactura, energía, retail, transporte.</p><p>Regiones afectadas: América del Norte, Europa, Asia, Oceanía, América Latina, África y Medio Oriente.</p><p>7. Contramedidas y Detección</p><p>Seguridad preventiva: Inventario de activos, monitoreo de red, hardening y parcheo.</p><p>Protección y respuesta: Copias de seguridad, MFA, sandboxing y detección con IA.</p><p>Entrenamiento: Simulaciones de phishing, ejercicios de equipo rojo y concienciación en seguridad.</p><p>8. Herramientas y Comandos Usados</p><p>Comandos maliciosos: net use, powershell -enc, taskkill, vssadmin delete shadows.</p><p>Explotación de vulnerabilidades: MOVEit Transfer, SolarWinds.</p><p>Malware asociado: Cobalt Strike, TrueBot, FlawedAmmyy, SDBOT.</p><p>9. Pirámide del Dolor</p><p>Clop se adapta rápidamente a medidas defensivas, pero atacar sus TTPs (tácticas, técnicas y procedimientos) dificulta su operación.</p>","author_name":"Jose Rojas"}