Investigación Profunda de Grupos de RansomwareInvestigación 1 - Ransomware Clop1. Identificación del GrupoNombre: ClopAño de aparición: 2019Origen: Europa del Este (posiblemente Rusia o países vecinos)Víctimas: 668 en total, 60 en 2025 hasta la fecha. Última víctima: OLAMETER.COM.2. Perfil del GrupoHistoria y evolución: Derivado del malware CryptoMix, ha evolucionado con capacidades avanzadas, incluyendo la doble extorsión y el modelo de Ransomware-as-a-Service (RaaS).Grandes ataques: Accellion (2020-2021), universidades, hospitales y gobiernos.Estado actual: Continúa activo con tácticas más sofisticadas y evasivas.3. Tácticas, Técnicas y Procedimientos (TTPs)Infraestructura: Servidores C2 en la darknet, exfiltración de datos, sitios de fugas.Distribución: Phishing dirigido y explotación de vulnerabilidades.Criptografía: AES-256 y RSA-2048 para cifrado de archivos.Persistencia: Modificación de claves de registro y uso de herramientas como PsExec y Mimikatz.Evasión: Uso de la darknet, VPNs, proxies y exclusión geográfica de países de la CEI.4. Flujo de AtaqueAcceso inicial: Phishing con correos maliciosos, explotación de vulnerabilidades (ej. CVE-2021-35211 en SolarWinds).Movimiento lateral: Uso de Cobalt Strike y SDBOT para propagación en redes corporativas.Exfiltración: Uso de herramientas como Rclone para el robo de datos.Impacto final: Cifrado de archivos críticos y extorsión con amenazas de divulgación.5. ImpactoEconómico: Rescates de $500,000 a $20 millones, interrupción operativa y costos de recuperación.Reputacional: Pérdida de confianza, exposición de datos sensibles y cobertura mediática negativa.6. VictimologíaSectores afectados: Salud, educación, gobierno, finanzas, tecnología, manufactura, energía, retail, transporte.Regiones afectadas: América del Norte, Europa, Asia, Oceanía, América Latina, África y Medio Oriente.7. Contramedidas y DetecciónSeguridad preventiva: Inventario de activos, monitoreo de red, hardening y parcheo.Protección y respuesta: Copias de seguridad, MFA, sandboxing y detección con IA.Entrenamiento: Simulaciones de phishing, ejercicios de equipo rojo y concienciación en seguridad.8. Herramientas y Comandos UsadosComandos maliciosos: net use, powershell -enc, taskkill, vssadmin delete shadows.Explotación de vulnerabilidades: MOVEit Transfer, SolarWinds.Malware asociado: Cobalt Strike, TrueBot, FlawedAmmyy, SDBOT.9. Pirámide del DolorClop se adapta rápidamente a medidas defensivas, pero atacar sus TTPs (tácticas, técnicas y procedimientos) dificulta su operación.Redes Sociales:[email protected]://shows.acast.com/blueteam-sin-morir-en-el-intentohttps://linkedin.com/company/blue-team-smihttps://x.com/blueteam_smihttps://www.youtube.com/@BlueTeamSMIDonativo:https://buymeacoffee.com/btsmi Hosted on Acast. See acast.com/privacy for more information.

Ver todos los episodios