Ransomware Clop, ataques e roubo de dados

Clop, CentreStack e a nova onda de ataques de roubo de dados: uma análise aprofundada

A gangue de ransomware Clop — também estilizada como Cl0p — voltou a chamar a atenção da comunidade de segurança em 2025 por direcionar suas operações para uma categoria específica e crítica de alvos: servidores de compartilhamento e sincronização de arquivos empresariais, como o Gladinet CentreStack. Essa campanha não se limita à simples criptografia de dados para resgate: o modelo principal aqui é a exfiltração de informações sensíveis seguida de extorsão com ameaça de divulgação pública, o que tem impacto direto na reputação e continuidade de operações das vítimas. 

Este artigo explora as implicações técnicas e organizacionais dessa campanha, as vulnerabilidades exploradas, as táticas e técnicas empregadas pelos atacantes, e as melhores práticas para mitigar riscos diante de um cenário de ameaça que combina falhas de segurança com métodos avançados de roubo de dados.

1. A gangue Clop e sua evolução estratégica

Clop não é um novato no cenário de ransomware. Desde sua origem em 2019 como variante do ransomware CryptoMix, o grupo evoluiu para um operador sofisticado com foco em exploração de vulnerabilidades em plataformas de transferência e compartilhamento de arquivos. Historicamente, a gangue está ligada a ataques massivos envolvendo soluções como MOVEit Transfer, Accellion FTA, GoAnywhere MFT e Cleo Harmony, todos com impacto global em diversos setores. 

A estratégia do grupo mudou gradualmente de mero bloqueio por criptografia para um modelo de extorsão dupla (double extortion):

• Roubo de dados confidenciais, e

• Criptografia ou ameaça de divulgação pública, caso a vítima não pague.

Esse modelo de negócio criminal amplia a pressão sobre as vítimas, pois agora a perda financeira é apenas uma camada do dano — a reputação e risco regulatório também são atacados.

2. Por que servidores de compartilhamento de arquivos estão na mira?

Plataformas como o Gladinet CentreStack são projetadas para permitir que empresas hospedem internamente uma solução de armazenamento e compartilhamento de arquivos com capacidades similares às nuvens públicas, acessíveis via navegador ou apps. Esse tipo de sistema é amplamente utilizado por organizações que necessitam armazenar, sincronizar e compartilhar grandes volumes de dados sem depender de serviços terceiros, como Google Drive ou Dropbox.

No entanto, ataques recentes demonstraram que essas plataformas frequentemente expõem interfaces administrativas e mecanismos de upload que podem ser explorados quando vulnerabilidades existem — especialmente quando sistemas não são atualizados rapidamente.

2.1 Vulnerabilidades exploradas

Uma das vulnerabilidades mais críticas envolvidas em ataques anteriores a plataformas similares foi o CVE-2025-30406, uma falha de deserialization em CentreStack que permitia a execução remota de código (RCE) devido ao uso de machineKey codificada e inadequadamente protegida, permitindo que atacantes forjassem payloads maliciosos que eram confiados pelo servidor. 

Embora nem sempre seja confirmado quais vulnerabilidades específicas estão sendo exploradas em cada campanha do Clop, ataques documentados indicam que adversários escaneiam sistemas expostos e usam falhas conhecidas ou zero-days para obter acesso inicial não autenticado e executar código arbitrário no servidor.

2.2 Exposição de servidores CentreStack

Os servidores Gladinet CentreStack, em especial, têm sido alvo porque:

• muitos estão expostos diretamente à internet (sem segmentação de rede);

• a plataforma é amplamente adotada em empresas de médio porte;

• certas versões contêm falhas graves que permitem bypass de proteção ou execução remota de código. 

Esses fatores tornam esses sistemas **alta prioridade para atores de ameaça que buscam não apenas entrar, mas permanecer tempo suficiente para mover lateralmente pela rede, coletar e exfiltrar dados antes de implantar ransomware ou simplesmente ameaçar divulgar conteúdos sensíveis.

3. Mecanismos típicos de ataque e exfiltração

3.1 Acesso inicial

O ponto de entrada geralmente envolve:

• exploração de vulnerabilidades zero-day em servidores web;

• falhas de configuração de servidor (por exemplo, interfaces administrativas expostas);

• credenciais fracas ou reutilizadas em sistemas de alto privilégio.

No caso de vulnerabilidades como CVE-2025-30406, o atacante pode manipular diretamente o artefato de ViewState e atingir RCE, permitindo que o servidor execute código remotamente com privilégios do serviço. 

3.2 Movimentação lateral e reconhecimento

Uma vez dentro do ambiente, os invasores normalmente:

• Executam técnicas de reconhecimento interno, coletando informações sobre usuários, permissões e topologia da rede;

• Instalam ferramentas de persistência (backdoors, web shells);

• Coletam e consolidam dados confidenciais — documentos, exportações de banco de dados, logs de sistemas, etc.;

• Exfiltram os dados cuidadosamente, muitas vezes usando canais cifrados para escapar de mecanismos de detecção de vazamento.

3.3 Extorsão

Após a coleta e exfiltração, os agentes ameaçadores usam esses artefatos para pressionar a vítima a pagar resgate sob ameaça de divulgação pública ou venda dos dados em mercados clandestinos.

4. Implicações para empresas e governos

Ataques como os atribuídos à Clop têm consequências profundas:

4.1 Perda de confiança e impacto financeiro

• custos de resposta e remediação de incidentes podem chegar a milhões de dólares;

• perda de receita devido à interrupção de operações;

• danos à reputação, especialmente se dados confidenciais de clientes vazarem.

4.2 Risco regulatório e jurídico

Dependendo da natureza dos dados, empresas podem enfrentar multas e penalidades sob leis como LGPD (Lei Geral de Proteção de Dados) no Brasil ou GDPR na União Europeia, especialmente se a divulgação de dados incluir informações pessoais sensíveis.

4.3 Pressão sobre equipes de segurança

Equipes de segurança enfrentam pressão crescente para:

• corrigir rapidamente vulnerabilidades em sistemas expostos;

• melhorar detecção de comportamentos anômalos e exfiltração;

• aplicar segmentação de rede e controle de acesso rigoroso.

Esses desafios não são menores, conforme aponta relatórios globais de ransomware: enquanto ataques especificamente de criptografia podem diminuir, roubo de dados e extorsão via vazamento continuam crescendo em frequência e impacto. 

5. Medidas de mitigação e boa prática de segurança

Diante de ameaças sofisticadas que exploram vulnerabilidades em soluções como Gladinet CentreStack e Triofox, organizações devem adotar uma abordagem defesa em profundidade:

5.1 Atualização contínua de software

Assegurar que todas as instâncias de software de compartilhamento de arquivos estejam patcheadas com as últimas versões, incluindo correções para vulnerabilidades conhecidas como CVE-2025-30406, é fundamental para reduzir a superfície de ataque.

5.2 Segmentação e redução de exposição

• Isolar sistemas de compartilhamento de arquivos em segmentos de rede protegidos;

• Remover acesso direto à internet a portas administrativas;

• Utilizar VPNs e gateways de acesso seguro para restringir o tráfego.

5.3 Monitoramento de eventos e detecção de intrusões

Implantar sistemas de SIEM/IDS/IPS que possam:

• detectar tentativas de exploração de deserialization;

• sinalizar comportamentos anômalos de login ou exfiltração;

• correlacionar eventos suspeitos em tempo real.

5.4 Controle de acesso e autenticação forte

• Autenticação multifator (MFA) para interfaces críticas;

• Políticas de privilégio mínimo para usuários e serviços;

• Rotação de credenciais e revisão regular de permissões.

Essas práticas ajudam a limitar a eficácia de ataques que dependem de abuso de credenciais ou configurações predefinidas.

Conclusão

A intensificação das operações do ransomware Clop contra servidores Gladinet CentreStack reflete um padrão preocupante no cenário atual: ameaças que combinam exploração de vulnerabilidades em soluções empresariais, roubo massivo de dados e extorsão de vítimas com exposição pública dos artefatos exfiltrados. Plataformas de compartilhamento seguro de arquivos tornaram-se alvos de alto valor porque alojam repositórios de informações sensíveis e, se mal configuradas ou desatualizadas, apresentam uma superfície de ataque explorável à distância.

Organizações que dependem dessas soluções precisam reconhecer que ataques não se limitam mais à criptografia de dados local, mas envolvem exfiltração e exposição de informações confidenciais — um movimento que tende a gerar impactos financeiros, legais e reputacionais duradouros. A adoção de um modelo de defesa em profundidade, com atualização contínua, segmentação de rede, autenticação rigorosa e monitoração avançada, é essencial para reduzir a probabilidade de comprometimento e mitigar rapidamente incidentes que envolvam agentes como o Clop.

Referências Bibliográficas

• Ransomware Clop mira Gladinet CentreStack em ataques de roubo de dados — CaveiraTech. Disponível em: https://caveiratech.com/post/ransomware-clop-mira-gladinet-centrestack-em-ataques-de-roubo-de-dados-3645187

• Gangue de ransomware Clop vira atenções para servidores Gladinet CentreStack — TugaTech. Disponível em: https://tugatech.com.pt/t75782-gangue-de-ransomware-clop-vira-atencoes-para-servidores-gladinet-centrestack