Cl0p
Cl0p ist eine der störendsten ransomware des letzten Jahrzehnts, die für die massenhafte Ausnutzung von Schwachstellen bei der Dateiübertragung, Erpressungskampagnen im globalen Maßstab und die unermüdliche Anpassung trotz wiederholter Razzien der Strafverfolgungsbehörden bekannt ist.

Der Ursprung von Cl0p
Cl0p ist eine finanziell motivierte Gruppe von Cyberkriminellen, die erstmals 2019 als ransomware innerhalb des breiteren TA505-Cybercrime-Syndikats auftrat. Die Gruppe zeichnete sich schnell durch ein doppeltes Erpressungsmodell aus, bei dem Dateien verschlüsselt und gleichzeitig sensible Daten exfiltriert werden, um einen zusätzlichen Nutzen zu erzielen. Im Laufe der Zeit entwickelte sich Cl0p zu einer der aktivsten und zerstörerischsten ransomware(RaaS)-Operationen, die auf Unternehmen aller Branchen weltweit abzielte.
Die Gruppe wird mit russischsprachigen Akteuren in Verbindung gebracht, und Geheimdienstinformationen deuten auf Verbindungen nach Osteuropa hin. Ihre Operationen haben sich immer wieder an den Druck der Strafverfolgungsbehörden angepasst und ihre Widerstandsfähigkeit und operative Raffinesse unter Beweis gestellt.
Von Cl0p betroffene Länder
Es wurden Opfer in Nordamerika, Europa und im asiatisch-pazifischen Raum gemeldet. Die Vereinigten Staaten, Südkorea, Deutschland und das Vereinigte Königreich waren am stärksten betroffen, obwohl Cl0p eine globale Präsenz hat.
Zielbranchen von Cl0p
Cl0p hat es in der Vergangenheit auf die Bereiche Finanzen, Gesundheitswesen, Bildung, Regierung, Energie und Technologie abgesehen. Bei der Auswahl der Opfer liegt der Schwerpunkt auf Unternehmen mit kritischen Abläufen, was den Druck auf die Lösegeldforderungen erhöht. Insbesondere wurden Schwachstellen in der Software-Lieferkette ausgenutzt, um sich gleichzeitig Zugang zu Hunderten von Unternehmen zu verschaffen.
Cl0p's bekannte Opfer
Zu den prominenten Opfern gehören Accellion, Shell, Qualys, Flagstar Bank und GoAnywhere MFT-Kunden. Durch Massenausbeutungskampagnen gelang es Cl0p, Dutzende von Fortune-500-Unternehmen sowie Regierungsbehörden und Universitäten zu schädigen.
Cl0p's Angriffsmethode

Cl0p ist vor allem dafür bekannt, dass es sich über zero-day in verwalteten Dateiübertragungssystemen wie Accellion FTA, GoAnywhere MFT und MOVEit Transfer Zugang verschafft. Diese Systeme sind attraktive Ziele, da sie branchenübergreifend weit verbreitet sind, häufig sensible Daten enthalten und direkt über das Internet zugänglich sind. Die Gruppe wurde auch dabei beobachtet, wie sie phishing mit bösartigen Anhängen einsetzte, um gültige Anmeldedaten zu erhalten, obwohl die Ausnutzung von Unternehmenssoftware im großen Stil ihre Hauptmethode bleibt.

Sobald die Cl0p-Operatoren in das System eingedrungen sind, verschaffen sie sich schnell privilegierten Zugang. Sie verlassen sich auf Tools wie Mimikatz, um Anmeldeinformationen zu extrahieren, und nutzen möglicherweise falsch konfigurierte Windows-Dienste aus.

Gültige Konten werden dann für die Persistenz verwendet, so dass sie unentdeckt in Umgebungen bleiben können, während sie die nächsten Phasen ihrer Tätigkeit vorbereiten. Cl0p ist sich der Sicherheitstools von Unternehmen bewusst. Sie versuchen, Antiviren- und endpoint zu deaktivieren, Protokolle zu manipulieren und Verschleierungstechniken einzusetzen, um ihre Aktivitäten zu verbergen. In neueren Kampagnen wurde verschlüsselter Exfiltrationsverkehr eingesetzt, um die Auslösung von Data Loss Prevention- oder Intrusion Detection-Kontrollen zu vermeiden.

Sammelt die Anmeldedaten von Administratoren durch Keylogging, Memory Scraping und Credential Dumping.

Führt interne Erkundungen durch, um Systeme abzubilden und sensible Daten zu identifizieren.

Mit gültigen Anmeldeinformationen in der Hand nutzt Cl0p Techniken wie RDP-Missbrauch und PSExec, um sich seitlich zu bewegen. Sie zielen auf administrative Freigaben ab und nutzen Domänenkonten, um sich schnell in Unternehmensumgebungen zu verbreiten. Diese Phase ist entscheidend für die Identifizierung sensibler Datenspeicher vor der Exfiltration.

Der Schwerpunkt liegt auf der Identifizierung und Exfiltration von vertraulichen Dokumenten, geistigem Eigentum und persönlichen Daten.

Die Gruppe setzt die ransomware ein, um Dateien mit einer Kombination aus AES- und RSA-Verschlüsselung zu verschlüsseln, und hinterlässt Erpresserbriefe mit Anweisungen für die Verhandlung.

Überträgt gestohlene Daten auf externe Server unter der Kontrolle der Gruppe, oft vor der Verschlüsselung.

Die Verschlüsselung ist in der Regel der letzten Phase vorbehalten, um sicherzustellen, dass sensible Daten bereits gestohlen wurden. Opfer, die sich weigern zu zahlen, müssen mit einer Veröffentlichung auf der Cl0p^_- LEAKS-Website rechnen, die sowohl als Druckmittel als auch als Reputationsinstrument für die Gruppe dient.

Cl0p ist vor allem dafür bekannt, dass es sich über zero-day in verwalteten Dateiübertragungssystemen wie Accellion FTA, GoAnywhere MFT und MOVEit Transfer Zugang verschafft. Diese Systeme sind attraktive Ziele, da sie branchenübergreifend weit verbreitet sind, häufig sensible Daten enthalten und direkt über das Internet zugänglich sind. Die Gruppe wurde auch dabei beobachtet, wie sie phishing mit bösartigen Anhängen einsetzte, um gültige Anmeldedaten zu erhalten, obwohl die Ausnutzung von Unternehmenssoftware im großen Stil ihre Hauptmethode bleibt.

Sobald die Cl0p-Operatoren in das System eingedrungen sind, verschaffen sie sich schnell privilegierten Zugang. Sie verlassen sich auf Tools wie Mimikatz, um Anmeldeinformationen zu extrahieren, und nutzen möglicherweise falsch konfigurierte Windows-Dienste aus.

Gültige Konten werden dann für die Persistenz verwendet, so dass sie unentdeckt in Umgebungen bleiben können, während sie die nächsten Phasen ihrer Tätigkeit vorbereiten. Cl0p ist sich der Sicherheitstools von Unternehmen bewusst. Sie versuchen, Antiviren- und endpoint zu deaktivieren, Protokolle zu manipulieren und Verschleierungstechniken einzusetzen, um ihre Aktivitäten zu verbergen. In neueren Kampagnen wurde verschlüsselter Exfiltrationsverkehr eingesetzt, um die Auslösung von Data Loss Prevention- oder Intrusion Detection-Kontrollen zu vermeiden.

Sammelt die Anmeldedaten von Administratoren durch Keylogging, Memory Scraping und Credential Dumping.

Führt interne Erkundungen durch, um Systeme abzubilden und sensible Daten zu identifizieren.

Mit gültigen Anmeldeinformationen in der Hand nutzt Cl0p Techniken wie RDP-Missbrauch und PSExec, um sich seitlich zu bewegen. Sie zielen auf administrative Freigaben ab und nutzen Domänenkonten, um sich schnell in Unternehmensumgebungen zu verbreiten. Diese Phase ist entscheidend für die Identifizierung sensibler Datenspeicher vor der Exfiltration.

Der Schwerpunkt liegt auf der Identifizierung und Exfiltration von vertraulichen Dokumenten, geistigem Eigentum und persönlichen Daten.

Die Gruppe setzt die ransomware ein, um Dateien mit einer Kombination aus AES- und RSA-Verschlüsselung zu verschlüsseln, und hinterlässt Erpresserbriefe mit Anweisungen für die Verhandlung.

Überträgt gestohlene Daten auf externe Server unter der Kontrolle der Gruppe, oft vor der Verschlüsselung.

Die Verschlüsselung ist in der Regel der letzten Phase vorbehalten, um sicherzustellen, dass sensible Daten bereits gestohlen wurden. Opfer, die sich weigern zu zahlen, müssen mit einer Veröffentlichung auf der Cl0p^_- LEAKS-Website rechnen, die sowohl als Druckmittel als auch als Reputationsinstrument für die Gruppe dient.
Cl0p's TTPs
Wie man Cl0p mit Vectra AI AI erkennt
Häufig gestellte Fragen
Wann wurde Cl0p erstmals identifiziert?
Cl0p wurde erstmals 2019 in Verbindung mit TA505 gesehen.
Was macht Cl0p einzigartig im Vergleich zu anderen ransomware ?
Sie leisteten Pionierarbeit bei der groß angelegten Ausnutzung von Managed-File-Transfer-Lösungen und ermöglichten ransomware im Stil einer Lieferkette.
Welche Verschlüsselungsmethoden verwendet Cl0p?
Es verwendet die hybride Verschlüsselung AES + RSA, um Dateien zu sperren und sicherzustellen, dass für die Entschlüsselung ihr privater Schlüssel erforderlich ist.
Wie erhält Cl0p den ersten Zugang?
Sie nutzen zero-day in Anwendungen wie Accellion FTA, MOVEit Transfer und GoAnywhere MFT sowie phishing aus.
Was war ihre wirkungsvollste Kampagne?
Die Accellion FTA-Kampagne (2020-2021 ) und die MOVEit-Massenausbeutung im Jahr 2023 gehörten zu ihren schädlichsten.
Hat es Strafverfolgungsmaßnahmen gegen Cl0p gegeben?
Ja. 2021 und 2023 führten die ukrainischen Strafverfolgungsbehörden mit Unterstützung von Europol und Interpol Razzien und Verhaftungen von Mitgliedsorganisationen durch. Auch die Beschlagnahmung von Infrastrukturen führte zu einer vorübergehenden Unterbrechung des Betriebs.
Wie geht Cl0p mit Lösegeldverhandlungen um?
Sie nutzen anonyme Kommunikationsportale, setzen strenge Fristen und drohen damit, sensible Daten auf ihrer Leak-Seite zu veröffentlichen.
Wird Cl0p als RaaS betrieben?
Ja. Es werden Partner rekrutiert, um die malware zu verbreiten, wobei Vereinbarungen über die Gewinnbeteiligung getroffen werden.
Kann die Vectra AI Cl0p-Aktivitäten erkennen?
Ja. Durch die Analyse von Seitwärtsbewegungen, ungewöhnlicher Verwendung von Anmeldeinformationen und Datenexfiltrationsmustern kann die Vectra AI Frühindikatoren erkennen, bevor die Verschlüsselung beginnt.
Wie ist der aktuelle Status von Cl0p am 2. Oktober 2025?
Cl0p bleibt trotz wiederholter Unterbrechungen aktiv. Ihre Kampagnen haben sich auf die zero-day von Dateiübertragungs-Tools in Unternehmen verlagert, wodurch sie ihren Ruf als hochwirksame ransomware beibehalten.