Mes por mes, el número de ataques de ransomware aumentó un 50% desde enero de 2025 hasta febrero, y poco menos del 40% de ellos atribuibles a la reuración de la tripulación CLOP/CL0P, según el último mensual de NCC Group Informe de pulso de amenaza.
Durante las cuatro semanas del 1 al 28 de febrero, NCC observó 886 ataques de ransomware, frente a 590 en enero y 403 esta vez el año pasado. Dijo que la porción del pastel de Clop era “inusualmente” como resultado directo de un nombre masivo y la vergüenza de las víctimas comprometidas a través de un par de exploits de día cero en el paquete de software de transferencia de archivos de CLEO.
Como sabrán los observadores cibernéticos, la pandilla Clop es reconocida por buscar y explotar los servicios de transferencia de archivos, habiendo orquestado el hack de los usuarios del servicio Moveit de Progress Software en 2023, que tuvo un efecto similar en ese momento.
Sin embargo, dijo el NCC, Clop también se sabe que exagera sus afirmaciones de atraer más atención, por lo que aunque no hay duda de que es un actor de amenaza altamente agresivo, los números pueden haber sido manipulados.
Sin embargo, la pandilla superó significativamente a sus rivales más cercanos, con Ransomhub manejando 87 ataques, Akira 77 y Play 43.
“Los números de víctimas de ransomware alcanzaron máximos récord en febrero, aumentando un 50% en comparación con enero de 2025, con CL0P liderando el cargo”, dijo el jefe de inteligencia de amenazas de NCC, Matt Hull. “A diferencia de las operaciones tradicionales de ransomware, la actividad de CL0P no se trataba de cifrar sistemas, se trataba de robar datos a escala.
“Al explotar vulnerabilidades sin parpadear en el software de transferencia de archivos ampliamente utilizado, al igual que vimos con Moveit y Goanywhere, pudieron exfiltrar la información confidencial y ahora comenzarán a presionar a las víctimas para que paguen este cambio hacia el robo de datos y la extorsión se está convirtiendo en la estrategia de referencia para los grupos de ransomware, permitiéndoles apuntar a más organizaciones y maximizar su cambio sobre las víctimas de los datos”, agregó.
Los ataques CLEO de CLOP se orquestaron a través de dos vulnerabilidades y exposiciones comunes (CVE) rastreados como CVE-2024-50623 y CVE-2024-55956.
El primero de estos permite la carga de archivos maliciosos a un servidor que luego se puede ejecutar para obtener la ejecución de código remoto (RCE). Este problema surge a través del manejo inadecuado de las cargas de archivos en el directorio Autorun que puede explotarse enviando una solicitud elaborada para recuperar archivos o cargar los maliciosos.
El segundo habilita RCE a través de Autorun, lo que permite a los usuarios no autenticados importar y ejecutar comandos arbitrarios Bash o PowerShell en el host utilizando la configuración predeterminada del directorio Autorun. La falla también permite a un atacante desplegar puertas traseras modulares de Java para robar datos y moverse lateralmente.
Los parches están disponibles para ambos, pero según NCC, muchas organizaciones que usan CLEO siguen siendo vulnerables gracias a actualizaciones tardías o mitigaciones insuficientes.
En medio del caos político, los actores de amenaza se centran en los Estados Unidos
Notable en los datos de NCC este mes fue la medida en que los ataques de ransomware están afectando los objetivos en los EE. UU., Dado que América del Norte representa el 65% de los incidentes observados en comparación con el 18% en Europa y el 7% en Asia.
En noviembre pasado, el NCC Informe de pulso de amenaza informaron estadísticas similares y atribuyeron los altos volúmenes de ataque al paisaje geopolítico caótico.
Esta tendencia parece que solo está acumulando ritmo desde que el presidente Trump regresó a la Casa Blanca en enero de 2025, aumentando simultáneamente presión sobre Irán para reducir sus ambiciones nucleares y causar un colapso significativo en las relaciones entre Estados Unidos y Ucrania, junto con una descongelación en las actitudes al régimen ruso.
NCC dijo que vio “oportunidades” significativas para que los actores de amenazas tanto en Irán como en Rusia aprovechen la política estadounidense que cambia rápidamente, en el caso de Irán, sugirió que Teherán podría expandir sus capacidades cibernéticas respaldadas por el estado y buscar vínculos más cercanos a China; Mientras que en Europa, el ecosistema cibernético de habla rusa puede aliviar su objetivo de las víctimas estadounidenses si el deshielo continúa.
Pero por ahora, las pandillas de ransomware de habla rusa continúan golpeando los objetivos de los Estados Unidos y, a corto plazo, NCC dijo que vio preocupaciones significativas sobre los dramáticos recortes del gobierno implementados por el Departamento de Eficiencia del Gobierno (DOGE). Analizado por Trump en parte como un ataque contra el gasto derrochador de Washington DC, estos esfuerzos, liderados por el oligarca tecnológico Elon Musk, ya han visto a miles de trabajadores del gobierno despedidos.
NCC dijo que los actores de amenaza motivados financieramente y geopolíticamente probablemente estaban buscando aprovechar la confusión y la interrupción, lo que probablemente ha llevado a una desviación significativa de los estándares y procesos cibernéticos normales en el gobierno federal. El estrés y la incertidumbre también aumentan el riesgo de ataques disruptivos y conduce a amenazas internas.
Al alarmante, un empleado de Doge de 19 años que recibió acceso de alto nivel a los sistemas de TI del gobierno delicada también se descubrió que era un ex miembro de una red cibernética conocida como Com.
NCC señaló que el Comité de Supervisión y Reforma del Gobierno de la Cámara de Representantes de EE. UU. Había pedido el cese de las actividades de dux y advirtió sobre el “desprecio imprudente de las prácticas críticas de seguridad cibernética”.