Quem comanda o Cl0p? Dentro da operação de ransomware mais evasiva do mundo

Uma investigação independente que cruzou fontes confidenciais, dados de fóruns de cibercrime, registros de dossiês e documentos de órgãos de segurança identificou quatro membros-chave do Cl0p: operador j0nny (também conhecido como b1shop), desenvolvedor Andrei Vladimirovich Tarasov (AELS/Lavander/CrazyMark, criador do sistema de distribuição de tráfego Angler Exploit Kit), comprador de acesso inicial Likhogray Maxim Alexandrovich (Baddie, que adquiriu acesso a redes sob a cobertura do Royal ransomware) e o desenvolvedor do DarkGate RastaFarEye, cuja infraestrutura de carregamento apresenta semelhanças com os clusters Cl0p documentados pela Group-IB. A análise de correlação de postagens em fóruns entre j0nny e o desenvolvedor de Loader Orlylyly mostrou um atraso significativo de cinco meses (r = 0,2453, p = 0,0078), consistente com uma relação fornecedor-operador, com a última postagem de Orlylyly ocorrendo 48 horas antes das primeiras vítimas do MOVEit Transfer do Cl0p aparecerem. A investigação retrata o Cl0p como uma organização criminosa deliberadamente compartimentalizada que paga honorários legais para membros presos, utiliza identidades de cobertura para compras de acesso e mantém relações de longo prazo com desenvolvedores em múltiplos ecossistemas de ransomware.