Cl0p
Cl0p, son on yılın en yıkıcı fidye yazılımı gruplarından biri olup, dosya aktarım açıklarından kitlesel olarak yararlanması, küresel ölçekte gasp kampanyaları ve tekrarlanan kolluk kuvvetleri baskılarına rağmen acımasız adaptasyonuyla bilinmektedir.
Cl0p'nin Kökeni
Cl0p, ilk olarak 2019'da gözlemlenen ve daha geniş TA505 siber suç sendikası içinde bir fidye yazılımı varyantı olarak faaliyet gösteren, finansal olarak motive olmuş bir siber suç grubudur. Grup, çifte gasp modelini benimseyerek, dosyaları şifrelerken aynı zamanda daha fazla kaldıraç için hassas verileri dışarı sızdırarak kendini hızla ayırt etti. Zamanla Cl0p, dünya çapındaki sektörlerdeki kuruluşları hedef alan en aktif ve yıkıcı hizmet olarak fidye yazılımı (RaaS) operasyonlarından birine dönüştü.
Grup Rusça konuşan aktörlerle bağlantılıdır ve istihbarat Doğu Avrupa ile bağları olduğunu göstermektedir. Operasyonları sürekli olarak kolluk kuvvetlerinin baskısına uyum sağlamış, esneklik ve operasyonel karmaşıklık göstermiştir.
Cl0p tarafından hedeflenen ülkeler
Mağdurlar Kuzey Amerika, Avrupa ve Asya-Pasifik'te bildirilmiştir. Cl0p'in küresel bir ayak izi olmasına rağmen, Amerika Birleşik Devletleri, Güney Kore, Almanya ve Birleşik Krallık en çok etkilenenler arasında yer aldı.
Cl0p tarafından hedeflenen sektörler
Cl0p tarihsel olarak finans, sağlık, eğitim, hükümet, enerji ve teknolojiyi hedef almıştır. Seçtikleri kurbanlar, kritik operasyonlara sahip kuruluşları vurgulayarak fidye baskısını artırıyor. Özellikle, yüzlerce işletmeye aynı anda erişim sağlamak için yazılım tedarik zincirindeki zayıflıklardan yararlandılar.
Cl0p'ın bilinen kurbanları
Yüksek profilli kurbanlar arasında Accellion, Shell, Qualys, Flagstar Bank ve GoAnywhere MFT müşterileri yer almaktadır. Cl0p, kitlesel istismar kampanyaları aracılığıyla düzinelerce Fortune 500 şirketinin yanı sıra devlet kurumları ve üniversiteleri de etkilemeyi başardı.
Cl0p'ın Saldırı Yöntemi
Cl0p en çok Accellion FTA, GoAnywhere MFT ve MOVEit Transfer gibi yönetilen dosya aktarım sistemlerindeki zero-day güvenlik açıkları yoluyla giriş yapmasıyla biliniyor. Bu sistemler, sektörler arasında yaygın olarak kullanıldıkları, genellikle hassas verileri tuttukları ve internetten doğrudan erişilebilir oldukları için cazip hedeflerdir. Grup ayrıca geçerli kimlik bilgileri elde etmek için kötü niyetli ekler içeren kimlik phishing kampanyaları kullanırken de gözlemlenmiştir, ancak kurumsal yazılımların büyük ölçekli istismarı birincil yöntemleri olmaya devam etmektedir.
Cl0p operatörleri içeri girdikten sonra ayrıcalıklı erişimi güvence altına almak için hızla hareket ederler. Kimlik bilgilerini almak için Mimikatz gibi araçlara güvenirler ve yanlış yapılandırılmış Windows hizmetlerinden yararlanabilirler.
Geçerli hesaplar daha sonra kalıcılık için kullanılır ve operasyonlarının sonraki aşamalarını hazırlarken fark edilmeden ortamlarda kalmalarına izin verir. Cl0p kurumsal güvenlik araçlarının farkında olduğunu göstermektedir. Antivirüs ve uç nokta korumasını devre dışı bırakmaya, günlükleri manipüle etmeye ve faaliyetlerini gizlemek için gizleme tekniklerini kullanmaya çalışırlar. Daha yeni kampanyalarda, veri kaybı önleme veya saldırı tespit kontrollerini tetiklemekten kaçınmak için şifreli sızma trafiği kullanılmıştır.
Yönetici kimlik bilgilerini keylogging, bellek kazıma ve kimlik bilgisi dökümü yoluyla toplar.
Sistemlerin haritasını çıkarmak ve hassas verileri belirlemek için dahili keşif yapar.
Elinde geçerli kimlik bilgileri bulunan Cl0p, yanlara doğru hareket etmek için RDP istismarı ve PSExec gibi teknikler kullanır. Yönetimsel paylaşımları hedef alır ve kurumsal ortamlarda hızla yayılmak için etki alanı hesaplarından yararlanırlar. Bu aşama, dışarı sızmadan önce hassas veri havuzlarını belirlemek için çok önemlidir.
Ağırlıklı olarak gizli belgeleri, fikri mülkiyeti ve kişisel verileri belirlemeye ve dışarı sızdırmaya odaklanır.
Grup, AES ve RSA şifrelemesinin bir kombinasyonunu kullanarak dosyaları şifrelemek için Cl0p fidye yazılımı yükünü dağıtıyor ve arkasında müzakere talimatları içeren fidye notları bırakıyor.
Çalınan verileri genellikle şifrelemeden önce grup kontrolü altındaki harici sunuculara aktarır.
Şifreleme genellikle son aşama için ayrılmıştır ve hassas verilerin zaten çalınmış olmasını sağlar. Ödeme yapmayı reddeden kurbanlar Cl0p^_- LEAKS sitesinde yayınlanmakla karşı karşıya kalmakta, bu da grup için hem bir baskı taktiği hem de bir itibar aracı olarak hizmet etmektedir.
Cl0p en çok Accellion FTA, GoAnywhere MFT ve MOVEit Transfer gibi yönetilen dosya aktarım sistemlerindeki zero-day güvenlik açıkları yoluyla giriş yapmasıyla biliniyor. Bu sistemler, sektörler arasında yaygın olarak kullanıldıkları, genellikle hassas verileri tuttukları ve internetten doğrudan erişilebilir oldukları için cazip hedeflerdir. Grup ayrıca geçerli kimlik bilgileri elde etmek için kötü niyetli ekler içeren kimlik phishing kampanyaları kullanırken de gözlemlenmiştir, ancak kurumsal yazılımların büyük ölçekli istismarı birincil yöntemleri olmaya devam etmektedir.
Cl0p operatörleri içeri girdikten sonra ayrıcalıklı erişimi güvence altına almak için hızla hareket ederler. Kimlik bilgilerini almak için Mimikatz gibi araçlara güvenirler ve yanlış yapılandırılmış Windows hizmetlerinden yararlanabilirler.
Geçerli hesaplar daha sonra kalıcılık için kullanılır ve operasyonlarının sonraki aşamalarını hazırlarken fark edilmeden ortamlarda kalmalarına izin verir. Cl0p kurumsal güvenlik araçlarının farkında olduğunu göstermektedir. Antivirüs ve uç nokta korumasını devre dışı bırakmaya, günlükleri manipüle etmeye ve faaliyetlerini gizlemek için gizleme tekniklerini kullanmaya çalışırlar. Daha yeni kampanyalarda, veri kaybı önleme veya saldırı tespit kontrollerini tetiklemekten kaçınmak için şifreli sızma trafiği kullanılmıştır.
Yönetici kimlik bilgilerini keylogging, bellek kazıma ve kimlik bilgisi dökümü yoluyla toplar.
Sistemlerin haritasını çıkarmak ve hassas verileri belirlemek için dahili keşif yapar.
Elinde geçerli kimlik bilgileri bulunan Cl0p, yanlara doğru hareket etmek için RDP istismarı ve PSExec gibi teknikler kullanır. Yönetimsel paylaşımları hedef alır ve kurumsal ortamlarda hızla yayılmak için etki alanı hesaplarından yararlanırlar. Bu aşama, dışarı sızmadan önce hassas veri havuzlarını belirlemek için çok önemlidir.
Ağırlıklı olarak gizli belgeleri, fikri mülkiyeti ve kişisel verileri belirlemeye ve dışarı sızdırmaya odaklanır.
Grup, AES ve RSA şifrelemesinin bir kombinasyonunu kullanarak dosyaları şifrelemek için Cl0p fidye yazılımı yükünü dağıtıyor ve arkasında müzakere talimatları içeren fidye notları bırakıyor.
Çalınan verileri genellikle şifrelemeden önce grup kontrolü altındaki harici sunuculara aktarır.
Şifreleme genellikle son aşama için ayrılmıştır ve hassas verilerin zaten çalınmış olmasını sağlar. Ödeme yapmayı reddeden kurbanlar Cl0p^_- LEAKS sitesinde yayınlanmakla karşı karşıya kalmakta, bu da grup için hem bir baskı taktiği hem de bir itibar aracı olarak hizmet etmektedir.
Cl0p'ın TTP'leri
Vectra AI ile Cl0p nasıl tespit edilir
Sıkça Sorulan Sorular
Cl0p ilk olarak ne zaman tanımlandı?
Cl0p ilk olarak 2019 yılında TA505 ile ilişkili olarak görülmüştür.
Cl0p'i diğer fidye yazılımı gruplarına kıyasla benzersiz kılan nedir?
Yönetilen dosya aktarım çözümlerinin büyük ölçekli istismarına öncülük ederek tedarik zinciri tarzı fidye yazılımı kampanyalarına olanak sağladılar.
Cl0p hangi şifreleme yöntemlerini kullanıyor?
Dosyaları kilitlemek ve şifre çözmenin özel anahtarlarını gerektirmesini sağlamak için AES + RSA hibrit şifreleme kullanır.
Cl0p ilk erişimi nasıl elde ediyor?
Accellion FTA, MOVEit Transfer ve GoAnywhere MFT gibi cihazlardaki zero-day güvenlik açıklarından ve phishing yararlanıyorlar.
En etkili kampanyaları hangisiydi?
Accellion FTA kampanyası (2020-2021) ve 2023'teki MOVEit kitlesel sömürüsü en çok zarar verenler arasındaydı.
Cl0p'a karşı yasal yaptırımlar uygulandı mı?
Evet. 2021 ve 2023'te Ukrayna kolluk kuvvetleri, Europol ve Interpol desteğiyle bağlı kuruluşlara baskınlar ve tutuklamalar gerçekleştirdi. Altyapı el koymaları da operasyonları geçici olarak kesintiye uğrattı.
Cl0p fidye görüşmelerini nasıl yürütüyor?
Anonim iletişim portalları kullanırlar, katı teslim tarihleri belirlerler ve hassas verileri sızıntı sitelerinde yayınlamakla tehdit ederler.
Cl0p bir RaaS olarak mı çalışıyor?
Evet. İştirakçiler malware yaymak için işe alınır ve kâr paylaşımı anlaşmaları yapılır.
Vectra AI Platformu Cl0p etkinliğini tespit edebilir mi?
Vectra AI Platformu , yanal hareketleri, olağandışı kimlik bilgisi kullanımını ve veri sızma modellerini analiz ederek şifreleme başlamadan önce erken göstergeleri ortaya çıkarabilir.
Cl0p'ın 2 Ekim 2025 itibariyle mevcut durumu nedir?
Cl0p tekrarlanan kesintilere rağmen aktif kalmaya devam ediyor. Kampanyaları, kurumsal dosya aktarım araçlarınınzero-day istismarına doğru kaymış ve yüksek etkili bir fidye yazılımı operatörü olarak itibarlarını korumuştur.