Ativo desde o começo de 2019, o Clop Ransomware nasceu com foco na criptografia de arquivos individuais. Com o tempo, o ataque passou a mirar empresas e redes inteiras, com novos recursos capazes de exfiltrar dados de grandes corporações em todo o mundo, inclusive na América Latina.
Mesmo com diversas tentativas de remoção, a ameaça sobreviveu e tem ressurgido com frequência neste ano - supostamente 130 organizações foram violadas somente em fevereiro. De acordo com especialistas da Lumu Technologies, empresa de cibersegurança criadora do modelo Continuous Compromise Assessment™, que permite às organizações medir os comprometimentos em tempo real, a tendência é que as invasões do tipo continuem a ocorrer.
“Isso porque o Clop tem sido um dos ransomware como serviço (RaaS) mais ativos nos últimos anos, visando quase qualquer tipo de organização. Ele foi conectado a ataques que afetam organizações públicas e privadas de diferentes setores, como manufatura, saúde, educação e energia. Ou seja, é muito versátil”, pontua German Patiño, vice-presidente de vendas da Lumu Technologies para América Latina.
“Apenas para dar uma noção da escala do impacto, nossa equipe de inteligência de ameaças descobriu que, no final de março, o buscador Shodan mostrava 1.264 instâncias do software de transferência de arquivos GoAnywhere expostas à internet – embora nem todas sejam vulneráveis, elas são visíveis para os invasores”, completa Patiño.
De acordo com o executivo, entre os fatores que potencializam a ameaça do Clop Ransomware estão sua aparência legítima, a capacidade de eliminar processos e criptografia, o fato de desativar recursos de reparo do Windows para que o sistema não possa ser facilmente restaurado, além de oferecer risco de extorsão dupla e se movimentar lateralmente pelas redes das organizações atingidas.
Entre as principais iniciativas que podem ser tomadas a fim de mitigar o ataque, os especialistas da Lumu destacam: