Cl0p

Cl0p ist eine der störendsten ransomware des letzten Jahrzehnts, die für die massenhafte Ausnutzung von Schwachstellen bei der Dateiübertragung, Erpressungskampagnen im globalen Maßstab und die unermüdliche Anpassung trotz wiederholter Razzien der Strafverfolgungsbehörden bekannt ist.

Ist Ihr Unternehmen vor einem ransomware sicher?

Der Ursprung von Cl0p

Cl0p ist eine finanziell motivierte Gruppe von Cyberkriminellen, die erstmals 2019 als ransomware innerhalb des breiteren TA505-Cybercrime-Syndikats auftrat. Die Gruppe zeichnete sich schnell durch ein doppeltes Erpressungsmodell aus, bei dem Dateien verschlüsselt und gleichzeitig sensible Daten exfiltriert werden, um einen zusätzlichen Nutzen zu erzielen. Im Laufe der Zeit entwickelte sich Cl0p zu einer der aktivsten und zerstörerischsten ransomware(RaaS)-Operationen, die auf Unternehmen aller Branchen weltweit abzielte.

Die Gruppe wird mit russischsprachigen Akteuren in Verbindung gebracht, und Geheimdienstinformationen deuten auf Verbindungen nach Osteuropa hin. Ihre Operationen haben sich immer wieder an den Druck der Strafverfolgungsbehörden angepasst und ihre Widerstandsfähigkeit und operative Raffinesse unter Beweis gestellt.

Von Cl0p betroffene Länder

Es wurden Opfer in Nordamerika, Europa und im asiatisch-pazifischen Raum gemeldet. Die Vereinigten Staaten, Südkorea, Deutschland und das Vereinigte Königreich waren am stärksten betroffen, obwohl Cl0p eine globale Präsenz hat.

Zielbranchen von Cl0p

Cl0p hat es in der Vergangenheit auf die Bereiche Finanzen, Gesundheitswesen, Bildung, Regierung, Energie und Technologie abgesehen. Bei der Auswahl der Opfer liegt der Schwerpunkt auf Unternehmen mit kritischen Abläufen, was den Druck auf die Lösegeldforderungen erhöht. Insbesondere wurden Schwachstellen in der Software-Lieferkette ausgenutzt, um sich gleichzeitig Zugang zu Hunderten von Unternehmen zu verschaffen.

Cl0p's bekannte Opfer

Zu den prominenten Opfern gehören Accellion, Shell, Qualys, Flagstar Bank und GoAnywhere MFT-Kunden. Durch Massenausbeutungskampagnen gelang es Cl0p, Dutzende von Fortune-500-Unternehmen sowie Regierungsbehörden und Universitäten zu schädigen.

Angriffsmethode

Cl0p's Angriffsmethode

Eine schattenhafte Gestalt, die ein weites Netz über eine digitale Landschaft mit verschiedenen Geräten wie Computern, Smartphones und Tablets auswirft. Das Netz symbolisiert die Versuche des Angreifers, Schwachstellen zu finden oder phishing Techniken zu verwenden, um unbefugten Zugang zu erhalten.

Cl0p ist vor allem dafür bekannt, dass es sich über zero-day in verwalteten Dateiübertragungssystemen wie Accellion FTA, GoAnywhere MFT und MOVEit Transfer Zugang verschafft. Diese Systeme sind attraktive Ziele, da sie branchenübergreifend weit verbreitet sind, häufig sensible Daten enthalten und direkt über das Internet zugänglich sind. Die Gruppe wurde auch dabei beobachtet, wie sie phishing mit bösartigen Anhängen einsetzte, um gültige Anmeldedaten zu erhalten, obwohl die Ausnutzung von Unternehmenssoftware im großen Stil ihre Hauptmethode bleibt.

Eine digitale Leiter, die von einem einfachen Benutzersymbol zu einer Krone aufsteigt, die administrative Rechte symbolisiert. Dies steht für die Bemühungen des Angreifers, innerhalb des Systems Zugang zu höheren Ebenen zu erhalten.

Sobald die Cl0p-Operatoren in das System eingedrungen sind, verschaffen sie sich schnell privilegierten Zugang. Sie verlassen sich auf Tools wie Mimikatz, um Anmeldeinformationen zu extrahieren, und nutzen möglicherweise falsch konfigurierte Windows-Dienste aus.

Ein Chamäleon, das sich in einen digitalen Hintergrund einfügt, mit Nullen und Einsen, die es umgeben. Dies steht für die Fähigkeit des Angreifers, sich der Entdeckung durch Sicherheitsmaßnahmen zu entziehen, indem er seine Taktik ändert, um sich in den normalen Netzwerkverkehr einzufügen.

Gültige Konten werden dann für die Persistenz verwendet, so dass sie unentdeckt in Umgebungen bleiben können, während sie die nächsten Phasen ihrer Tätigkeit vorbereiten. Cl0p ist sich der Sicherheitstools von Unternehmen bewusst. Sie versuchen, Antiviren- und endpoint zu deaktivieren, Protokolle zu manipulieren und Verschleierungstechniken einzusetzen, um ihre Aktivitäten zu verbergen. In neueren Kampagnen wurde verschlüsselter Exfiltrationsverkehr eingesetzt, um die Auslösung von Data Loss Prevention- oder Intrusion Detection-Kontrollen zu vermeiden.

Ein Dieb mit einem Dietrich-Toolkit, der an einem riesigen Schlüsselloch arbeitet, das wie ein Anmeldeformular geformt ist und die Bemühungen des Angreifers darstellt, Benutzerdaten zu stehlen, um unbefugten Zugang zu erhalten.

Sammelt die Anmeldedaten von Administratoren durch Keylogging, Memory Scraping und Credential Dumping.

Eine Lupe, die sich über eine digitale Karte eines Netzwerks bewegt und Dateien, Ordner und Netzwerkverbindungen hervorhebt. Dieses Bild stellt die Phase dar, in der Angreifer die Umgebung erkunden, um die Struktur zu verstehen und herauszufinden, wo sich wertvolle Daten befinden.

Führt interne Erkundungen durch, um Systeme abzubilden und sensible Daten zu identifizieren.

Eine Reihe miteinander verbundener Knotenpunkte, zwischen denen sich eine schemenhafte Gestalt heimlich bewegt. Dies veranschaulicht die Bewegungen des Angreifers innerhalb des Netzes, der versucht, die Kontrolle über weitere Systeme zu erlangen oder malware zu verbreiten.

Mit gültigen Anmeldeinformationen in der Hand nutzt Cl0p Techniken wie RDP-Missbrauch und PSExec, um sich seitlich zu bewegen. Sie zielen auf administrative Freigaben ab und nutzen Domänenkonten, um sich schnell in Unternehmensumgebungen zu verbreiten. Diese Phase ist entscheidend für die Identifizierung sensibler Datenspeicher vor der Exfiltration.

Ein großer Staubsauger, der Dateien, Datensymbole und Ordner in einen Beutel aufsaugt, der von einer schemenhaften Gestalt gehalten wird. Dieses Bild symbolisiert den Prozess des Sammelns wertvoller Daten aus dem Zielnetzwerk.

Der Schwerpunkt liegt auf der Identifizierung und Exfiltration von vertraulichen Dokumenten, geistigem Eigentum und persönlichen Daten.

Ein Eingabeaufforderungsfenster, das vor einem digitalen Hintergrund geöffnet ist und in das bösartiger Code eingegeben wird. Dies ist die Phase, in der die Angreifer ihre bösartige Nutzlast auf dem angegriffenen System ausführen.

Die Gruppe setzt die ransomware ein, um Dateien mit einer Kombination aus AES- und RSA-Verschlüsselung zu verschlüsseln, und hinterlässt Erpresserbriefe mit Anweisungen für die Verhandlung.

Eine Reihe von Dateien, die über einen verdeckten Kanal von einem Computer zu einem mit einem Totenkopf gekennzeichneten cloud geleitet werden, was die unautorisierte Übertragung von Daten an einen vom Angreifer kontrollierten Ort symbolisiert.

Überträgt gestohlene Daten auf externe Server unter der Kontrolle der Gruppe, oft vor der Verschlüsselung.

Ein zerbrochener Bildschirm mit einer digitalen Stadtlandschaft im Chaos dahinter symbolisiert die zerstörerischen Auswirkungen des Cyberangriffs, wie z. B. Dienstunterbrechungen, Datenvernichtung oder finanzielle Verluste.

Die Verschlüsselung ist in der Regel der letzten Phase vorbehalten, um sicherzustellen, dass sensible Daten bereits gestohlen wurden. Opfer, die sich weigern zu zahlen, müssen mit einer Veröffentlichung auf der Cl0p^_- LEAKS-Website rechnen, die sowohl als Druckmittel als auch als Reputationsinstrument für die Gruppe dient.

Eine schattenhafte Gestalt, die ein weites Netz über eine digitale Landschaft mit verschiedenen Geräten wie Computern, Smartphones und Tablets auswirft. Das Netz symbolisiert die Versuche des Angreifers, Schwachstellen zu finden oder phishing Techniken zu verwenden, um unbefugten Zugang zu erhalten.
Erster Zugang

Cl0p ist vor allem dafür bekannt, dass es sich über zero-day in verwalteten Dateiübertragungssystemen wie Accellion FTA, GoAnywhere MFT und MOVEit Transfer Zugang verschafft. Diese Systeme sind attraktive Ziele, da sie branchenübergreifend weit verbreitet sind, häufig sensible Daten enthalten und direkt über das Internet zugänglich sind. Die Gruppe wurde auch dabei beobachtet, wie sie phishing mit bösartigen Anhängen einsetzte, um gültige Anmeldedaten zu erhalten, obwohl die Ausnutzung von Unternehmenssoftware im großen Stil ihre Hauptmethode bleibt.

Eine digitale Leiter, die von einem einfachen Benutzersymbol zu einer Krone aufsteigt, die administrative Rechte symbolisiert. Dies steht für die Bemühungen des Angreifers, innerhalb des Systems Zugang zu höheren Ebenen zu erhalten.
Rechte-Eskalation

Sobald die Cl0p-Operatoren in das System eingedrungen sind, verschaffen sie sich schnell privilegierten Zugang. Sie verlassen sich auf Tools wie Mimikatz, um Anmeldeinformationen zu extrahieren, und nutzen möglicherweise falsch konfigurierte Windows-Dienste aus.

Ein Chamäleon, das sich in einen digitalen Hintergrund einfügt, mit Nullen und Einsen, die es umgeben. Dies steht für die Fähigkeit des Angreifers, sich der Entdeckung durch Sicherheitsmaßnahmen zu entziehen, indem er seine Taktik ändert, um sich in den normalen Netzwerkverkehr einzufügen.
Verteidigung Umgehung

Gültige Konten werden dann für die Persistenz verwendet, so dass sie unentdeckt in Umgebungen bleiben können, während sie die nächsten Phasen ihrer Tätigkeit vorbereiten. Cl0p ist sich der Sicherheitstools von Unternehmen bewusst. Sie versuchen, Antiviren- und endpoint zu deaktivieren, Protokolle zu manipulieren und Verschleierungstechniken einzusetzen, um ihre Aktivitäten zu verbergen. In neueren Kampagnen wurde verschlüsselter Exfiltrationsverkehr eingesetzt, um die Auslösung von Data Loss Prevention- oder Intrusion Detection-Kontrollen zu vermeiden.

Ein Dieb mit einem Dietrich-Toolkit, der an einem riesigen Schlüsselloch arbeitet, das wie ein Anmeldeformular geformt ist und die Bemühungen des Angreifers darstellt, Benutzerdaten zu stehlen, um unbefugten Zugang zu erhalten.
Zugang zu Anmeldeinformationen

Sammelt die Anmeldedaten von Administratoren durch Keylogging, Memory Scraping und Credential Dumping.

Eine Lupe, die sich über eine digitale Karte eines Netzwerks bewegt und Dateien, Ordner und Netzwerkverbindungen hervorhebt. Dieses Bild stellt die Phase dar, in der Angreifer die Umgebung erkunden, um die Struktur zu verstehen und herauszufinden, wo sich wertvolle Daten befinden.
Entdeckung

Führt interne Erkundungen durch, um Systeme abzubilden und sensible Daten zu identifizieren.

Eine Reihe miteinander verbundener Knotenpunkte, zwischen denen sich eine schemenhafte Gestalt heimlich bewegt. Dies veranschaulicht die Bewegungen des Angreifers innerhalb des Netzes, der versucht, die Kontrolle über weitere Systeme zu erlangen oder malware zu verbreiten.
Seitliche Bewegung

Mit gültigen Anmeldeinformationen in der Hand nutzt Cl0p Techniken wie RDP-Missbrauch und PSExec, um sich seitlich zu bewegen. Sie zielen auf administrative Freigaben ab und nutzen Domänenkonten, um sich schnell in Unternehmensumgebungen zu verbreiten. Diese Phase ist entscheidend für die Identifizierung sensibler Datenspeicher vor der Exfiltration.

Ein großer Staubsauger, der Dateien, Datensymbole und Ordner in einen Beutel aufsaugt, der von einer schemenhaften Gestalt gehalten wird. Dieses Bild symbolisiert den Prozess des Sammelns wertvoller Daten aus dem Zielnetzwerk.
Sammlung

Der Schwerpunkt liegt auf der Identifizierung und Exfiltration von vertraulichen Dokumenten, geistigem Eigentum und persönlichen Daten.

Ein Eingabeaufforderungsfenster, das vor einem digitalen Hintergrund geöffnet ist und in das bösartiger Code eingegeben wird. Dies ist die Phase, in der die Angreifer ihre bösartige Nutzlast auf dem angegriffenen System ausführen.
Ausführung

Die Gruppe setzt die ransomware ein, um Dateien mit einer Kombination aus AES- und RSA-Verschlüsselung zu verschlüsseln, und hinterlässt Erpresserbriefe mit Anweisungen für die Verhandlung.

Eine Reihe von Dateien, die über einen verdeckten Kanal von einem Computer zu einem mit einem Totenkopf gekennzeichneten cloud geleitet werden, was die unautorisierte Übertragung von Daten an einen vom Angreifer kontrollierten Ort symbolisiert.
Exfiltration

Überträgt gestohlene Daten auf externe Server unter der Kontrolle der Gruppe, oft vor der Verschlüsselung.

Ein zerbrochener Bildschirm mit einer digitalen Stadtlandschaft im Chaos dahinter symbolisiert die zerstörerischen Auswirkungen des Cyberangriffs, wie z. B. Dienstunterbrechungen, Datenvernichtung oder finanzielle Verluste.
Auswirkungen

Die Verschlüsselung ist in der Regel der letzten Phase vorbehalten, um sicherzustellen, dass sensible Daten bereits gestohlen wurden. Opfer, die sich weigern zu zahlen, müssen mit einer Veröffentlichung auf der Cl0p^_- LEAKS-Website rechnen, die sowohl als Druckmittel als auch als Reputationsinstrument für die Gruppe dient.

MITRE ATT&CK Kartierung

Cl0p's TTPs

TA0001: Initial Access
T1566
Phishing
T1190
Exploit Public-Facing Application
T1078
Valid Accounts
TA0002: Execution
No items found.
TA0003: Persistence
T1078
Valid Accounts
TA0004: Privilege Escalation
T1078
Valid Accounts
TA0005: Defense Evasion
T1027
Obfuscated Files or Information
T1078
Valid Accounts
TA0006: Credential Access
T1003
OS Credential Dumping
TA0007: Discovery
No items found.
TA0008: Lateral Movement
T1077
Remote Services: SMB/Windows Admin Shares
TA0009: Collection
T1074
Data Staged
TA0011: Command and Control
No items found.
TA0010: Exfiltration
T1041
Exfiltration Over C2 Channel
TA0040: Impact
T1657
Financial Theft
T1486
Data Encrypted for Impact

Häufig gestellte Fragen

Wann wurde Cl0p erstmals identifiziert?

Was macht Cl0p einzigartig im Vergleich zu anderen ransomware ?

Welche Verschlüsselungsmethoden verwendet Cl0p?

Wie erhält Cl0p den ersten Zugang?

Was war ihre wirkungsvollste Kampagne?

Hat es Strafverfolgungsmaßnahmen gegen Cl0p gegeben?

Wie geht Cl0p mit Lösegeldverhandlungen um?

Wird Cl0p als RaaS betrieben?

Kann die Vectra AI Cl0p-Aktivitäten erkennen?

Wie ist der aktuelle Status von Cl0p am 2. Oktober 2025?