Gang ransomware Clop przyznał się do niedawnych ataków kradzieży danych na Cleo, wykorzystując luki dnia zerowego w platformach przesyłania plików firmy. Oprogramowanie Cleo do zarządzania przesyłaniem plików — Cleo Harmony, VLTrader i LexiCom — stało się celem, umożliwiając hakerom kradzież wrażliwych danych firmowych.
Ransomware Clop atakuje platformy przesyłania danych Cleo
W październiku 2023 r. Cleo naprawiła lukę w zabezpieczeniach zidentyfikowaną jako CVE-2024-50623co umożliwiało nieograniczone przesyłanie i pobieranie plików, co potencjalnie prowadziło do ataków na zdalne wykonanie kodu. Jednak Huntress, firma zajmująca się bezpieczeństwem cybernetycznym, odkryła, że oryginalna łatka była nieskuteczna, a atakującym udało się wykorzystać obejście, co doprowadziło do ciągłych naruszeń danych. Naruszenie to obejmowało przesłanie backdoora JAVA, co ułatwiło kradzież danych i zapewniło hakerom dalszy dostęp do zaatakowanych sieci.
Po ataku Agencja ds. Bezpieczeństwa Cyberbezpieczeństwa i Infrastruktury (CISA) potwierdzony wykorzystanie CVE-2024-50623 w niedawnych działaniach oprogramowania ransomware. Cleo nie przyznała się publicznie do wykorzystania luki, która według doniesień została załatana. Chociaż wstępne oceny powiązały te ataki z nową grupą o nazwie Termite, dalsze badania powiązały je ściślej z działalnością Clopa.
Grupa ransomware Clop, znana również jako TA505 i Cl0p, ma doświadczenie w wykorzystywaniu luk w zabezpieczeniach platform bezpiecznego przesyłania plików. Strategia ta zyskała na znaczeniu w 2020 r., począwszy od exploita dnia zerowego w umowie o wolnym handlu Accellion, który dotknął prawie sto organizacji. W 2021 r. grupa wykorzystała lukę dnia zerowego w oprogramowaniu FTP SolarWinds Serv-U, jeszcze bardziej koncentrując się na tego typu atakach.
W 2023 roku Clop zastosował podobną taktykę przeciwko platformie GoAnywhere MFT, co pozwoliło mu złamać dane z ponad 100 firm. Ich najbardziej znana operacja polegała na wykorzystaniu luki w zabezpieczeniach platformy MOVEit Transfer, co doprowadziło do naruszeń bezpieczeństwa danych w 2773 organizacjach. Obecne ataki na Cleo to kolejny rozdział trwającej kampanii Clopa wymierzonej w rozwiązania do przesyłania plików, budzący poważne obawy wśród przedsiębiorstw korzystających z tych platform.
Cleo w dużej mierze milczała na temat skali skutków i nie jest jasne, ile organizacji dotknęły ostatnie naruszenia. Z raportów wynika, że Clop koncentruje się na nowych wysiłkach związanych z niedawnymi atakami Cleo, deklarując zamiar usunięcia danych powiązanych z poprzednimi ofiarami. Wiadomość ze strony wyłudzeń Clopa stwierdzała, że łącza do danych wcześniejszych ofiar zostaną wyłączone, z naciskiem na współpracę wyłącznie z nowymi firmami będącymi celem exploitów Cleo.
Departament Stanu Stanów Zjednoczonych ściga Clopa, łącząc go z podmiotami z zagranicy, i wyznaczył nagrodę w wysokości 10 milionów dolarów za informacje, które doprowadzą do jego schwytania.
„Jeśli chodzi o CLEO, to był to nasz projekt (łącznie z poprzednim cleo) – który zakończył się sukcesem. Wszystkie informacje, które przechowujemy, pracując z nimi, przestrzegamy wszelkich środków bezpieczeństwa. Jeśli są to dane służb rządowych, instytucji, medycyny, to natychmiast i bez wahania usuniemy te dane (przypomnę, jak ostatnio było z moveit – wszystkie dane rządowe, medyczne, przychodnie, dane badań naukowych w państwie poziom został usunięty), przestrzegamy naszych przepisów. z miłością © CL0P^_” – powiedział Clop Błyszczący Komputer.
Autor wyróżnionego obrazu: Wesleya Forda/Unsplash
