Cl0p: как ransomware-группа выстроила сеть атак и соучастников

За последние четыре года Cl0p ransomware group превратилась в одну из наиболее опасных угроз в киберпространстве, системно эксплуатируя незащищенные уязвимости software для проникновения в организации. Отчет указывает, что только в 2023 году кампания против widely used file transfer software привела к компрометации более 2600 компаний и потенциально затронула данные около 90 миллионов физических лиц.

Жертвами Cl0p становились крупнейшие корпорации и federal agencies США. При этом, несмотря на масштаб ущерба, основные operators группы остаются неустановленными, а уголовные дела против них по-прежнему не возбуждены.

Попытки правоохранительных органов

Правоохранительные органы предпринимали попытки установить и задержать лиц, связанных с группой. В частности, было объявлено вознаграждение за информацию о ключевой фигуре, известной как j0nny, которого считают заметным member Cl0p.

Согласно отчету, j0nny активно участвует в русскоязычных cybercrime forums и рассматривается как важный operator Cl0p. Ему приписывают интерес к malware, нацеленному на HVAC systems, а также тесное взаимодействие с разработчиками Cl0p.

Роль j0nny в теневой инфраструктуре

Активность j0nny на форумах указывает на устойчивый спрос на sophisticated malware tools, включая:

• remote access software;
• malware loaders, способные обходить antivirus detection;
• инструменты для удаленного управления целевыми компьютерами;
• вредоносное ПО, собирающее confidential user data.

В одном из обсуждений j0nny искал custom VNC implementation для управления целевыми системами без присмотра и заявлял о потребности в вредоносном ПО, способном извлекать конфиденциальные пользовательские данные.

Andrey Vladimirovich Tarasov и связь с Cl0p

Еще одной важной фигурой в этой истории является Andrey Vladimirovich Tarasov. Его связывают с различными cybercrime operations и с сетью Cl0p.

Сообщается, что Tarasov был кратковременно задержан в Germany, после чего вернулся в Russia. В США он по-прежнему находится под обвинением в conspiracy to commit fraud. По данным отчета, его участие в Cl0p включало разработку malware, а источники утверждают, что группа оказывала ему financial support во время legal troubles.

Экосистема initial access brokers

В контексте ransomware operations особую роль играют initial access brokers. Именно они обеспечивают проникновение в инфраструктуру жертв, продавая точки входа другим злоумышленникам.

Отчет отмечает, что пользователь Baddie, связанный с Royal ransomware, участвовал в покупке такого доступа для Cl0p. Это подтверждает наличие кооперации между различными cybercrime groups.

Связанные акторы и инструменты

В отчете также упоминается Rastafareye, разработавший malware DarkGate. Этот инструмент обеспечивает функции кражи credentials и malware delivery, а также был причастен к нескольким атакам на targets Cl0p.

Отдельно указан загрузчик вредоносного ПО, созданный orlylyly. Он использовался как entry point для Cl0p и других ransomware groups, что подчеркивает многослойную инфраструктуру киберпреступной экосистемы.

Особое внимание в отчете уделяется высокой эффективности этого loader в обходе antivirus software. Именно такие инструменты позволяют операторам ransomware сохранять устойчивость, повышать живучесть инфраструктуры и усложнять обнаружение атак.

Вывод отчета однозначен: успех Cl0p опирается не только на собственных операторов, но и на разветвленную сеть помощников, брокеров доступа, разработчиков malware и продавцов инфраструктуры. Эта кооперация делает группу особенно опасной и демонстрирует, насколько зрелой стала современная ransomware ecosystem.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.