Clop es una familia de ransomware observada por primera vez en febrero de 2019. Está dirigida a múltiples sectores como retail, transporte, educación, manufactura, energía, finanzas, salud y telecomunicaciones. Es una variante del ransomware CryptoMix, y sus operadores han demostrado capacidades avanzadas tanto en cifrado como en evasión de defensas.
Técnicas Destacadas en MITRE ATT&CK
1. Intérprete de comandos y scripting
T1059.003: utiliza cmd.exe para ejecutar comandos en el sistema.
2. Cifrado de datos para impacto
T1486: cifra archivos usando algoritmos como AES, RSA y RC4, y añade la extensión “.clop” a los archivos cifrados.
3. Deofuscación o decodificación
T1140: emplea una operación XOR simple para descifrar cadenas internas del malware.
4. Descubrimiento de archivos y directorios
T1083: explora carpetas y subcarpetas para localizar archivos a cifrar.
5. Impedimento de defensas
T1562.001: desinstala o desactiva productos de seguridad.
6. Inhibición de recuperación del sistema
T1490: elimina Shadow Copies usando “vssadmin Delete Shadows /all /quiet” y modifica opciones de arranque con “bcdedit”.
7. Modificación del registro
T1112: realiza cambios en claves del Registro de Windows para mantenerse persistente o modificar el comportamiento del sistema.
8. Uso de API nativas
T1106: utiliza funciones como WNetOpenEnumW(), GetProcAddress() y VirtualAlloc() para operaciones en memoria.
9. Descubrimiento de recursos compartidos de red
T1135: enumera unidades de red accesibles para incluirlas en el proceso de cifrado.
10. Ofuscación de archivos o información
T1027.002: empaqueta el malware para dificultar su detección.
11. Descubrimiento de procesos
T1057: lista procesos activos para identificar software de defensa que pueda interferir con su ejecución.
12. Detención de servicios
T1489: detiene servicios relacionados con respaldo, bases de datos o antivirus antes de cifrar.
13. Descubrimiento de software de seguridad
T1518.001: identifica procesos y servicios de seguridad para su neutralización.
14. Subversión de control de confianza (firma de código)
T1553.002: se firma digitalmente para eludir mecanismos de validación.
15. Ejecución proxy de binarios del sistema
T1218.007: emplea msiexec.exe para ejecutar componentes maliciosos y desactivar defensas.
16. Evasión de sandbox o virtualización
T1497.003: introduce pausas (sleep) para evitar ser detectado en entornos de análisis automatizados.
17. Descubrimiento del idioma del sistema
T1614.001: utiliza funciones como GetKeyboardLayout() para evitar ejecutar el ransomware en sistemas que usen idiomas de la Comunidad de Estados Independientes (CIS), como el ruso.
Grupos Relacionados
Clop ha sido vinculado con el grupo TA505, conocido por sus campañas de distribución de malware a gran escala y por operar variantes previas de ransomware.
Flujo de ataque resumido
- Ejecuta cmd.exe para lanzar comandos maliciosos.
- Realiza reconocimiento de archivos, servicios y red.
- Desactiva defensas y elimina copias de recuperación del sistema.
- Usa técnicas de evasión como empaquetado y firmas falsas.
- Cifra archivos con algoritmos robustos, renombrándolos con la extensión “.clop”.
- Detecta entornos sandbox y evita ejecutarse en ellos o en sistemas con idioma ruso.
- Finaliza servicios críticos y borra rastros de su actividad.
Mitigaciones y detección recomendadas
- Monitorizar la ejecución de cmd.exe y comandos sospechosos.
- Bloquear el uso de herramientas como vssadmin, bcdedit y msiexec mediante políticas de seguridad.
- Implementar control de aplicaciones (AppLocker) para restringir binarios del sistema.
- Detectar procesos que usen firmas irregulares o introduzcan pausas anómalas.
- Auditar accesos a claves de registro críticas y modificaciones de configuraciones del sistema.
- Establecer alertas sobre la eliminación de shadow copies y detención de servicios clave.
Este análisis proporciona una visión técnica clara y estructurada del comportamiento del ransomware Clop, clave para orientar estrategias de defensa, detección y respuesta.