Cl0p
Cl0pは、過去10年間で最も破壊的なランサムウェアグループの1つで、ファイル転送の脆弱性を大量に悪用し、世界規模の恐喝キャンペーンを行い、法執行機関の度重なる取り締まりにもかかわらず執拗に適応することで知られている。
Cl0pの起源
Cl0pは、2019年に初めて確認された金銭的動機に基づくサイバー犯罪グループで、より広範なTA505サイバー犯罪シンジケートの中でランサムウェアの亜種として活動している。このグループは、二重の恐喝モデルを採用し、ファイルを暗号化すると同時に機密データも流出させ、レバレッジを高めることで、すぐに頭角を現しました。やがてCl0pは、最も活発で破壊的なランサムウェア・アズ・ア・サービス(RaaS)の1つに発展し、世界中のあらゆる業界の組織を標的にしました。
同グループはロシア語を話すアクターと関係があり、情報では東欧とのつながりが示唆されている。彼らの活動は一貫して法執行機関の圧力に適応しており、回復力と作戦の洗練性を示している。
Cl0pの対象国
北米、ヨーロッパ、アジア太平洋地域で被害が報告されている。米国、韓国、ドイツ、英国が最も大きな被害を受けているが、Cl0pは世界規模で活動している。
Cl0pがターゲットとする産業
Cl0pはこれまで、金融、ヘルスケア、教育、政府、エネルギー、テクノロジーを標的としてきた。Cl0pの被害者の選択は、クリティカルなオペレーションを行う組織を重視しており、身代金要求の圧力を高めている。特筆すべきは、ソフトウェアのサプライチェーンの弱点を突いて、数百の企業に同時にアクセスしたことだ。
Cl0Pの既知の犠牲者
著名な被害者には、Accellion、Shell、Qualys、Flagstar Bank、GoAnywhere MFTの顧客などがいます。Cl0pは大規模な悪用キャンペーンを通じて、政府機関や大学だけでなく、フォーチュン500社の数十社に影響を与えることに成功しました。
Cl0pの攻撃方法
Cl0pは、Accellion FTA、GoAnywhere MFT、MOVEit Transferなどのマネージド・ファイル転送システムのzero-day 脆弱性を利用して侵入することで最もよく知られている。これらのシステムは、業界を問わず広く使用されており、機密データを保持していることが多く、インターネットから直接アクセスできるため、魅力的な標的となっています。同グループはまた、以下のようなシステムも使用していることが確認されている。 フィッシング キャンペーンを利用して有効な認証情報を取得することも確認されていますが、企業向けソフトウェアの大規模な悪用が主な手口であることに変わりはありません。
一旦内部に侵入すると、Cl0pのオペレーターは特権アクセスを確保するために素早く動く。彼らはMimikatzのようなツールを使って認証情報を抽出し、設定ミスのWindowsサービスを悪用することもある。
その後、有効なアカウントが永続的に使用され、次の段階への準備の間、検知されずに環境内に留まることができる。Cl0pは、企業のセキュリティ・ツールに対する認識を示しています。ウイルス対策やエンドポイント保護を無効にし、ログを操作し、活動を隠すために難読化技術を使用しようとします。最近のキャンペーンでは、暗号化された流出トラフィックが使用され、データ損失防止や侵入検知コントロールのトリガーを回避しています。
キーロギング、メモリ・スクレイピング、およびクレデンシャル・ダンピングによって管理者のクレデンシャルを収集します。
社内偵察を行い、システムをマッピングし、機密データを特定する。
有効な認証情報を手にしたCl0pは、RDPの悪用やPSExecなどのテクニックを使って横方向に移動する。Cl0pは管理者共有をターゲットとし、ドメイン・アカウントを活用して企業環境全体に迅速に拡散します。この段階は、流出する前に機密データのリポジトリを特定するために非常に重要です。
機密文書、知的財産、個人データの特定と流出に重点を置く。
このグループはCl0pランサムウェアのペイロードを展開し、AESとRSAの暗号化を組み合わせてファイルを暗号化し、交渉の指示が書かれた身代金のメモを残します。
盗まれたデータを、多くの場合暗号化する前に、グループの管理下にある外部サーバーに転送する。
暗号化は通常、最終段階で行われ、機密データがすでに盗まれていることを確認する。支払いを拒否した被害者は、Cl0p^_- LEAKSサイトに掲載されることになる。
Cl0pは、Accellion FTA、GoAnywhere MFT、MOVEit Transferなどのマネージド・ファイル転送システムのzero-day 脆弱性を利用して侵入することで最もよく知られている。これらのシステムは、業界を問わず広く使用されており、機密データを保持していることが多く、インターネットから直接アクセスできるため、魅力的な標的となっています。同グループはまた、以下のようなシステムも使用していることが確認されている。 フィッシング キャンペーンを利用して有効な認証情報を取得することも確認されていますが、企業向けソフトウェアの大規模な悪用が主な手口であることに変わりはありません。
一旦内部に侵入すると、Cl0pのオペレーターは特権アクセスを確保するために素早く動く。彼らはMimikatzのようなツールを使って認証情報を抽出し、設定ミスのWindowsサービスを悪用することもある。
その後、有効なアカウントが永続的に使用され、次の段階への準備の間、検知されずに環境内に留まることができる。Cl0pは、企業のセキュリティ・ツールに対する認識を示しています。ウイルス対策やエンドポイント保護を無効にし、ログを操作し、活動を隠すために難読化技術を使用しようとします。最近のキャンペーンでは、暗号化された流出トラフィックが使用され、データ損失防止や侵入検知コントロールのトリガーを回避しています。
キーロギング、メモリ・スクレイピング、およびクレデンシャル・ダンピングによって管理者のクレデンシャルを収集します。
社内偵察を行い、システムをマッピングし、機密データを特定する。
有効な認証情報を手にしたCl0pは、RDPの悪用やPSExecなどのテクニックを使って横方向に移動する。Cl0pは管理者共有をターゲットとし、ドメイン・アカウントを活用して企業環境全体に迅速に拡散します。この段階は、流出する前に機密データのリポジトリを特定するために非常に重要です。
機密文書、知的財産、個人データの特定と流出に重点を置く。
このグループはCl0pランサムウェアのペイロードを展開し、AESとRSAの暗号化を組み合わせてファイルを暗号化し、交渉の指示が書かれた身代金のメモを残します。
盗まれたデータを、多くの場合暗号化する前に、グループの管理下にある外部サーバーに転送する。
暗号化は通常、最終段階で行われ、機密データがすでに盗まれていることを確認する。支払いを拒否した被害者は、Cl0p^_- LEAKSサイトに掲載されることになる。
Cl0pのTTP
Vectra AIでCl0pを検知 する方法
よくあるご質問(FAQ)
Cl0pが最初に確認されたのはいつですか?
Cl0pは2019年、TA505に関連して初めて確認された。
Cl0pが他のランサムウェアグループと比べてユニークなのはなぜか?
彼らは、管理されたファイル転送ソリューションの大規模な悪用のパイオニアであり、サプライチェーン型のランサムウェアキャンペーンを可能にした。
Cl0pはどのような暗号化方式を採用していますか?
AES + RSAハイブリッド暗号化を使用してファイルをロックし、復号化には秘密鍵が必要です。
Cl0pはどのようにして最初のアクセスを得るのか?
Accellion FTA、MOVEit Transfer、GoAnywhere MFTのようなアプライアンスのzero-day 脆弱性を悪用します。 フィッシング.
最もインパクトのあったキャンペーンは?
アクセリオンFTAキャンペーン(2020-2021年)と2023年のMOVEit大量搾取は、最も大きな被害をもたらした。
Cl0pに対する法執行措置はあったのか?
2021年と2023年に、ウクライナの法執行機関は、欧州警察機構(ユーロポール)と国際刑事警察機構(インターポール)の支援を受けて、関連組織の襲撃と逮捕を行った。インフラの差し押さえも一時的に業務を中断させた。
Cl0pは身代金交渉をどのように処理するのか?
彼らは匿名のコミュニケーション・ポータルを使い、厳しい期限を設定し、漏洩サイトで機密データを公開すると脅す。
Cl0pはRaaSとして運営されていますか?
そうだ。アフィリエイトはmalware広めるために募集され、利益分配契約が結ばれる。
Vectra AIプラットフォームはCl0p活動を検知 できるか?
Vectra AI Platformは、横方向の移動、通常とは異なるクレデンシャルの使用、データ流出のパターンを分析することで、暗号化が始まる前に初期の指標を示すことができます。
2025年10月2日現在のCl0pの状況は?
Cl0pは、度重なる混乱にもかかわらず、依然として活動を続けている。彼らのキャンペーンは、企業向けファイル転送ツールのzero-day 悪用にシフトしており、影響力の大きいランサムウェアの運営者としての評判を維持しています。