Cl0p

Cl0p, son on yılın en yıkıcı fidye yazılımı gruplarından biri olup, dosya aktarım açıklarından kitlesel olarak yararlanması, küresel ölçekte gasp kampanyaları ve tekrarlanan kolluk kuvvetleri baskılarına rağmen acımasız adaptasyonuyla bilinmektedir.

Kurumunuz Cl0p fidye yazılımı saldırısına karşı güvende mi?

Cl0p'nin Kökeni

Cl0p, ilk olarak 2019'da gözlemlenen ve daha geniş TA505 siber suç sendikası içinde bir fidye yazılımı varyantı olarak faaliyet gösteren, finansal olarak motive olmuş bir siber suç grubudur. Grup, çifte gasp modelini benimseyerek, dosyaları şifrelerken aynı zamanda daha fazla kaldıraç için hassas verileri dışarı sızdırarak kendini hızla ayırt etti. Zamanla Cl0p, dünya çapındaki sektörlerdeki kuruluşları hedef alan en aktif ve yıkıcı hizmet olarak fidye yazılımı (RaaS) operasyonlarından birine dönüştü.

Grup Rusça konuşan aktörlerle bağlantılıdır ve istihbarat Doğu Avrupa ile bağları olduğunu göstermektedir. Operasyonları sürekli olarak kolluk kuvvetlerinin baskısına uyum sağlamış, esneklik ve operasyonel karmaşıklık göstermiştir.

Cl0p tarafından hedeflenen ülkeler

Mağdurlar Kuzey Amerika, Avrupa ve Asya-Pasifik'te bildirilmiştir. Cl0p'in küresel bir ayak izi olmasına rağmen, Amerika Birleşik Devletleri, Güney Kore, Almanya ve Birleşik Krallık en çok etkilenenler arasında yer aldı.

Cl0p tarafından hedeflenen sektörler

Cl0p tarihsel olarak finans, sağlık, eğitim, hükümet, enerji ve teknolojiyi hedef almıştır. Seçtikleri kurbanlar, kritik operasyonlara sahip kuruluşları vurgulayarak fidye baskısını artırıyor. Özellikle, yüzlerce işletmeye aynı anda erişim sağlamak için yazılım tedarik zincirindeki zayıflıklardan yararlandılar.

Cl0p'ın bilinen kurbanları

Yüksek profilli kurbanlar arasında Accellion, Shell, Qualys, Flagstar Bank ve GoAnywhere MFT müşterileri yer almaktadır. Cl0p, kitlesel istismar kampanyaları aracılığıyla düzinelerce Fortune 500 şirketinin yanı sıra devlet kurumları ve üniversiteleri de etkilemeyi başardı.

Saldırı Yöntemi

Cl0p'ın Saldırı Yöntemi

Bilgisayarlar, akıllı telefonlar ve tabletler gibi çeşitli cihazlarla dolu dijital bir manzara üzerinde geniş bir ağ atan gölgeli bir figür. Ağ, saldırganın güvenlik açıklarını bulma veya yetkisiz erişim elde etmek için phishing tekniklerini kullanma girişimlerini sembolize eder.

Cl0p en çok Accellion FTA, GoAnywhere MFT ve MOVEit Transfer gibi yönetilen dosya aktarım sistemlerindeki zero-day güvenlik açıkları yoluyla giriş yapmasıyla biliniyor. Bu sistemler, sektörler arasında yaygın olarak kullanıldıkları, genellikle hassas verileri tuttukları ve internetten doğrudan erişilebilir oldukları için cazip hedeflerdir. Grup ayrıca geçerli kimlik bilgileri elde etmek için kötü niyetli ekler içeren kimlik phishing kampanyaları kullanırken de gözlemlenmiştir, ancak kurumsal yazılımların büyük ölçekli istismarı birincil yöntemleri olmaya devam etmektedir.

Temel bir kullanıcı simgesinden yukarıya, yönetici ayrıcalıklarını simgeleyen bir taca doğru uzanan dijital bir merdiven. Bu, saldırganın sistem içinde daha üst düzey erişim elde etme çabalarını temsil eder.

Cl0p operatörleri içeri girdikten sonra ayrıcalıklı erişimi güvence altına almak için hızla hareket ederler. Kimlik bilgilerini almak için Mimikatz gibi araçlara güvenirler ve yanlış yapılandırılmış Windows hizmetlerinden yararlanabilirler.

Dijital bir arka plana karışan, etrafında sıfırlar ve birler akan bir bukalemun. Bu, saldırganın normal ağ trafiğine karışmak için taktik değiştirerek güvenlik önlemleri tarafından tespit edilmekten kaçınma yeteneğini temsil eder.

Geçerli hesaplar daha sonra kalıcılık için kullanılır ve operasyonlarının sonraki aşamalarını hazırlarken fark edilmeden ortamlarda kalmalarına izin verir. Cl0p kurumsal güvenlik araçlarının farkında olduğunu göstermektedir. Antivirüs ve uç nokta korumasını devre dışı bırakmaya, günlükleri manipüle etmeye ve faaliyetlerini gizlemek için gizleme tekniklerini kullanmaya çalışırlar. Daha yeni kampanyalarda, veri kaybı önleme veya saldırı tespit kontrollerini tetiklemekten kaçınmak için şifreli sızma trafiği kullanılmıştır.

Giriş formu şeklindeki dev bir anahtar deliği üzerinde çalışan maymuncuk aletine sahip bir hırsız, saldırganın yetkisiz erişim elde etmek için kullanıcı kimlik bilgilerini çalma çabalarını temsil ediyor.

Yönetici kimlik bilgilerini keylogging, bellek kazıma ve kimlik bilgisi dökümü yoluyla toplar.

Bir ağın dijital haritası üzerinde hareket eden ve dosyaları, klasörleri ve ağ bağlantılarını vurgulayan bir büyüteç. Bu görüntü, saldırganların yapıyı ve değerli verilerin nerede bulunduğunu anlamak için ortamı keşfettikleri aşamayı temsil eder.

Sistemlerin haritasını çıkarmak ve hassas verileri belirlemek için dahili keşif yapar.

Gölgeli bir figürün aralarında gizlice hareket ettiği bir dizi birbirine bağlı düğüm. Bu, ek sistemlerin kontrolünü ele geçirmek veya malware adresini yaymak isteyen saldırganın ağ içindeki hareketlerini göstermektedir.

Elinde geçerli kimlik bilgileri bulunan Cl0p, yanlara doğru hareket etmek için RDP istismarı ve PSExec gibi teknikler kullanır. Yönetimsel paylaşımları hedef alır ve kurumsal ortamlarda hızla yayılmak için etki alanı hesaplarından yararlanırlar. Bu aşama, dışarı sızmadan önce hassas veri havuzlarını belirlemek için çok önemlidir.

Dosyaları, veri simgelerini ve klasörleri gölgeli bir figür tarafından tutulan bir torbaya emen büyük bir vakum. Bu görüntü, hedef ağdan değerli verilerin toplanması sürecini sembolize eder.

Ağırlıklı olarak gizli belgeleri, fikri mülkiyeti ve kişisel verileri belirlemeye ve dışarı sızdırmaya odaklanır.

Dijital bir arka planın önünde açılan ve kötü amaçlı kod yazılan bir komut istemi penceresi. Bu, saldırganların ele geçirilen sistem içinde kötü amaçlı yüklerini çalıştırdıkları aşamayı temsil eder.

Grup, AES ve RSA şifrelemesinin bir kombinasyonunu kullanarak dosyaları şifrelemek için Cl0p fidye yazılımı yükünü dağıtıyor ve arkasında müzakere talimatları içeren fidye notları bırakıyor.

Bir bilgisayardan gizli bir kanal aracılığıyla kurukafa ile etiketlenmiş bir buluta aktarılan bir dizi dosya, verilerin saldırgan tarafından kontrol edilen bir konuma izinsiz olarak aktarılmasını sembolize eder.

Çalınan verileri genellikle şifrelemeden önce grup kontrolü altındaki harici sunuculara aktarır.

Arkasında kaos içinde dijital bir şehir manzarası olan kırık bir ekran, siber saldırının hizmet kesintisi, veri imhası veya mali kayıp gibi yıkıcı etkisini sembolize eder.

Şifreleme genellikle son aşama için ayrılmıştır ve hassas verilerin zaten çalınmış olmasını sağlar. Ödeme yapmayı reddeden kurbanlar Cl0p^_- LEAKS sitesinde yayınlanmakla karşı karşıya kalmakta, bu da grup için hem bir baskı taktiği hem de bir itibar aracı olarak hizmet etmektedir.

Bilgisayarlar, akıllı telefonlar ve tabletler gibi çeşitli cihazlarla dolu dijital bir manzara üzerinde geniş bir ağ atan gölgeli bir figür. Ağ, saldırganın güvenlik açıklarını bulma veya yetkisiz erişim elde etmek için phishing tekniklerini kullanma girişimlerini sembolize eder.
İlk Erişim

Cl0p en çok Accellion FTA, GoAnywhere MFT ve MOVEit Transfer gibi yönetilen dosya aktarım sistemlerindeki zero-day güvenlik açıkları yoluyla giriş yapmasıyla biliniyor. Bu sistemler, sektörler arasında yaygın olarak kullanıldıkları, genellikle hassas verileri tuttukları ve internetten doğrudan erişilebilir oldukları için cazip hedeflerdir. Grup ayrıca geçerli kimlik bilgileri elde etmek için kötü niyetli ekler içeren kimlik phishing kampanyaları kullanırken de gözlemlenmiştir, ancak kurumsal yazılımların büyük ölçekli istismarı birincil yöntemleri olmaya devam etmektedir.

Temel bir kullanıcı simgesinden yukarıya, yönetici ayrıcalıklarını simgeleyen bir taca doğru uzanan dijital bir merdiven. Bu, saldırganın sistem içinde daha üst düzey erişim elde etme çabalarını temsil eder.
Ayrıcalık Yükseltme

Cl0p operatörleri içeri girdikten sonra ayrıcalıklı erişimi güvence altına almak için hızla hareket ederler. Kimlik bilgilerini almak için Mimikatz gibi araçlara güvenirler ve yanlış yapılandırılmış Windows hizmetlerinden yararlanabilirler.

Dijital bir arka plana karışan, etrafında sıfırlar ve birler akan bir bukalemun. Bu, saldırganın normal ağ trafiğine karışmak için taktik değiştirerek güvenlik önlemleri tarafından tespit edilmekten kaçınma yeteneğini temsil eder.
Savunma Kaçırma

Geçerli hesaplar daha sonra kalıcılık için kullanılır ve operasyonlarının sonraki aşamalarını hazırlarken fark edilmeden ortamlarda kalmalarına izin verir. Cl0p kurumsal güvenlik araçlarının farkında olduğunu göstermektedir. Antivirüs ve uç nokta korumasını devre dışı bırakmaya, günlükleri manipüle etmeye ve faaliyetlerini gizlemek için gizleme tekniklerini kullanmaya çalışırlar. Daha yeni kampanyalarda, veri kaybı önleme veya saldırı tespit kontrollerini tetiklemekten kaçınmak için şifreli sızma trafiği kullanılmıştır.

Giriş formu şeklindeki dev bir anahtar deliği üzerinde çalışan maymuncuk aletine sahip bir hırsız, saldırganın yetkisiz erişim elde etmek için kullanıcı kimlik bilgilerini çalma çabalarını temsil ediyor.
Kimlik Bilgileri Erişimi

Yönetici kimlik bilgilerini keylogging, bellek kazıma ve kimlik bilgisi dökümü yoluyla toplar.

Bir ağın dijital haritası üzerinde hareket eden ve dosyaları, klasörleri ve ağ bağlantılarını vurgulayan bir büyüteç. Bu görüntü, saldırganların yapıyı ve değerli verilerin nerede bulunduğunu anlamak için ortamı keşfettikleri aşamayı temsil eder.
Keşif

Sistemlerin haritasını çıkarmak ve hassas verileri belirlemek için dahili keşif yapar.

Gölgeli bir figürün aralarında gizlice hareket ettiği bir dizi birbirine bağlı düğüm. Bu, ek sistemlerin kontrolünü ele geçirmek veya malware adresini yaymak isteyen saldırganın ağ içindeki hareketlerini göstermektedir.
Yanal Hareket

Elinde geçerli kimlik bilgileri bulunan Cl0p, yanlara doğru hareket etmek için RDP istismarı ve PSExec gibi teknikler kullanır. Yönetimsel paylaşımları hedef alır ve kurumsal ortamlarda hızla yayılmak için etki alanı hesaplarından yararlanırlar. Bu aşama, dışarı sızmadan önce hassas veri havuzlarını belirlemek için çok önemlidir.

Dosyaları, veri simgelerini ve klasörleri gölgeli bir figür tarafından tutulan bir torbaya emen büyük bir vakum. Bu görüntü, hedef ağdan değerli verilerin toplanması sürecini sembolize eder.
Koleksiyon

Ağırlıklı olarak gizli belgeleri, fikri mülkiyeti ve kişisel verileri belirlemeye ve dışarı sızdırmaya odaklanır.

Dijital bir arka planın önünde açılan ve kötü amaçlı kod yazılan bir komut istemi penceresi. Bu, saldırganların ele geçirilen sistem içinde kötü amaçlı yüklerini çalıştırdıkları aşamayı temsil eder.
Yürütme

Grup, AES ve RSA şifrelemesinin bir kombinasyonunu kullanarak dosyaları şifrelemek için Cl0p fidye yazılımı yükünü dağıtıyor ve arkasında müzakere talimatları içeren fidye notları bırakıyor.

Bir bilgisayardan gizli bir kanal aracılığıyla kurukafa ile etiketlenmiş bir buluta aktarılan bir dizi dosya, verilerin saldırgan tarafından kontrol edilen bir konuma izinsiz olarak aktarılmasını sembolize eder.
Sızma

Çalınan verileri genellikle şifrelemeden önce grup kontrolü altındaki harici sunuculara aktarır.

Arkasında kaos içinde dijital bir şehir manzarası olan kırık bir ekran, siber saldırının hizmet kesintisi, veri imhası veya mali kayıp gibi yıkıcı etkisini sembolize eder.
Etki

Şifreleme genellikle son aşama için ayrılmıştır ve hassas verilerin zaten çalınmış olmasını sağlar. Ödeme yapmayı reddeden kurbanlar Cl0p^_- LEAKS sitesinde yayınlanmakla karşı karşıya kalmakta, bu da grup için hem bir baskı taktiği hem de bir itibar aracı olarak hizmet etmektedir.

MITRE ATT&CK Haritalama

Cl0p'ın TTP'leri

TA0001: Initial Access
T1566
Phishing
T1190
Exploit Public-Facing Application
T1078
Valid Accounts
TA0002: Execution
No items found.
TA0003: Persistence
T1078
Valid Accounts
TA0004: Privilege Escalation
T1078
Valid Accounts
TA0005: Defense Evasion
T1027
Obfuscated Files or Information
T1078
Valid Accounts
TA0006: Credential Access
T1003
OS Credential Dumping
TA0007: Discovery
No items found.
TA0008: Lateral Movement
T1077
Remote Services: SMB/Windows Admin Shares
TA0009: Collection
T1074
Data Staged
TA0011: Command and Control
No items found.
TA0010: Exfiltration
T1041
Exfiltration Over C2 Channel
TA0040: Impact
T1657
Financial Theft
T1486
Data Encrypted for Impact

Sıkça Sorulan Sorular

Cl0p ilk olarak ne zaman tanımlandı?

Cl0p'i diğer fidye yazılımı gruplarına kıyasla benzersiz kılan nedir?

Cl0p hangi şifreleme yöntemlerini kullanıyor?

Cl0p ilk erişimi nasıl elde ediyor?

En etkili kampanyaları hangisiydi?

Cl0p'a karşı yasal yaptırımlar uygulandı mı?

Cl0p fidye görüşmelerini nasıl yürütüyor?

Cl0p bir RaaS olarak mı çalışıyor?

Vectra AI Platformu Cl0p etkinliğini tespit edebilir mi?

Cl0p'ın 2 Ekim 2025 itibariyle mevcut durumu nedir?