Clop: кража данных через уязвимости нулевого дня

Clop, также известная как Cl0p, действует с 2019 года и выделяется среди других групп-вымогателей тем, что делает ставку не на прямое шифрование систем, а на _кражу данных_. Эта стратегия позволила злоумышленникам находить и эксплуатировать уязвимости в популярных решениях для передачи и хранения файлов, получая доступ к корпоративным сетям без классических векторов наподобие фишинга.

Ключевые кампании и уязвимости

За последние годы Clop реализовала ряд заметных атак, опираясь на уязвимости нулевого дня и SQL-инъекции:

• Accellion File Transfer Appliance (FTA) — в конце 2020 — начале 2021 года группа использовала уязвимость SQL-инъекции (CVE-2021-27101), что привело к компрометации более 300 арендаторов.
• Forta GoAnywhere Managed File Transfer — в начале 2023 года применение уязвимости нулевого дня (CVE-2023-0669) дало злоумышленникам удалённое выполнение кода; пострадало около 130 жертв.
• MOVEit Secure Managed File Transfer от Progress Software — в середине 2023 года использована уязвимость SQL-инъекции (CVE-2023-34362). По итогам кампании подтверждены как минимум шесть сделок с выплатой выкупа на сумму более $34 млн.
• Oracle E-Business Suite (EBS) — в 2025 году Clop применил уязвимость CVE-2025-61882, позволявшую удалённое выполнение кода и постоянное развертывание web-shell. Группа заявила о доступе к более чем 234 арендаторам EBS и направляла жертвам резкие требования о выкупе, превышавшие $10 млн.

«Clop заявил о доступе к более чем 234 арендаторам EBS и напрямую общался с жертвами через резкие электронные письма, в которых содержались требования о выкупе, превышающие 10 миллионов долларов.»

Однако для EBS-кампании подтверждена лишь одна выплата — $3 млн, что подчёркивает снижение рентабельности подобных операций.

Операционная модель и её последствия

Операционная модель Clop сконцентрирована исключительно на краже данных, в отличие от более разрушительных тактик групп, таких как Akira, которые практикуют шифрование критических систем и принуждают к оплате выкупа для восстановления работы. Такой стратегический сдвиг привёл к нескольким последствиям:

• меньшая срочность со стороны жертв: утечка данных редко останавливает операционные процессы так, как это делает ransomware;
• снижение финансовых результатов у злоумышленников по сравнению с традиционными схемами шифрования;
• эффективность модели — быстрые атаки по нулевым дням — сочетается с «уменьшенным влиянием» на жертву в плане немедленных экономических потерь.

Рекомендации для организаций

В условиях массовых атак через уязвимости в сервисах передачи файлов и сопутствующем фокусе на exfiltration, организациям рекомендуется внедрять многослойную защиту:

• строгие политики хранения данных и минимизация объёма удерживаемой информации;
• использование allowlist (списков допустимых IP-адресов) для критичных порталов и сервисов;
• надёжная практика управления уязвимостями: своевременное патчирование, мониторинг поставщиков и тестирование на проникновение;
• внедрение многофакторной аутентификации (MFA) на всех порталах входа;
• развёртывание решений для обнаружения и реагирования на конечных точках (EDR) для защиты от кражи учётных данных и бокового перемещения внутри сети.

Эти меры не только снижают вероятность успешной эксплуатации нулевого дня, но и ограничивают масштаб ущерба в случае компрометации.

Вывод

Clop продемонстрировал, что акцент на эксплойтах и краже данных является жизнеспособной, но менее доходной альтернативой традиционному ransomware. Для организаций это значит: борьба с инфраструктурными уязвимостями и контроль доступа — критически важные элементы защиты. В эпоху, когда злоумышленники быстро используют нулевые дни, упреждающие меры по управлению уязвимостями, контролю доступа и мониторингу сети остаются ключом к снижению риска и потерь.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.