Gang ransomware Clop przyznał się do naruszenia danych z co najmniej 66 firm, wykorzystując lukę w narzędziach do przesyłania plików Cleo Software. Ten incydent, zgłoszony 25 grudnia 2024 r., podkreśla trwającą kampanię gangu wycelowaną w podatne na ataki systemy korporacyjne. Clop ogłosił, że ofiary mają 48 godzin na spełnienie żądań okupu, a w przeciwnym razie ujawnią pełne nazwy firm, których to dotyczy.
Gang ransomware Clop wykorzystuje oprogramowanie Cleo, atakując 66 firm
Naruszenie opiera się na luce dnia zerowego znanej jako CVE-2024-50623wpływając na Cleo LexiComVLTransfer i produkty Harmony. Ta wada umożliwia zdalne przesyłanie i pobieranie plików, co może prowadzić do potencjalnego zdalnego wykonania kodu. Cleo potwierdziła, że z jej oprogramowania korzysta ponad 4000 organizacji na całym świecie, co sugeruje, że zagrożona może być większa grupa firm. Poprzednie hacki Clopa zawierały podobne exploity wymierzone w platformy Accellion, GoAnywhere i MOVEit.
Niedawne działania Clopa oznaczają znaczną eskalację, ponieważ bezpośrednio kontaktował się on z ofiarami, zapewniając bezpieczne kanały negocjacji w sprawie okupu. Gang opublikował częściowe nazwy dotkniętych firm na swojej ciemnej stronie internetowej, twierdząc, że aktualna lista obejmuje tylko te firmy, które nie współpracowały z nimi. To dodatkowo nawiązuje do możliwości, że liczba zagrożonych przedsiębiorstw może być wyższa niż zgłoszona.
Cleo ostrzegła klientów o aktywnym wykorzystaniu luki CVE-2024-50623 i udostępniła łatki do swojego oprogramowania. Jednak badacze cyberbezpieczeństwa wyrazili obawy, że poprawki te mogą być podatne na obejście. Huntress ujawniła tę lukę na początku tego miesiąca, ostrzegając użytkowników o trwających wysiłkach hakerów w zakresie wykorzystania tej luki. Potencjalne konsekwencje tej luki pogłębia potwierdzenie przez firmę Clop, że wykorzystuje tę lukę w celu ułatwienia swoich najnowszych operacji kradzieży danych.
Starbucks przywraca systemy po ataku ransomware Blue Yonder
– powiedział Yutaka Sejiyama z Macnicy Piszczący Komputer że nawet przy niepełnych nazwach firm, odniesienie do publicznie dostępnych danych na serwerach Cleo mogłoby ujawnić niektóre ofiary. W miarę rozwoju sytuacji pozostaje niepewność co do tego, ile organizacji może ostatecznie paść ofiarą tego ataku i jakie środki zostaną podjęte w celu usunięcia tych luk.
Firma Clop może pochwalić się słynną historią wykorzystywania luk typu zero-day do infiltrowania sieci korporacyjnych, czego dowodem są wcześniejsze włamania tej firmy do innych popularnych platform przesyłania plików. Dane skradzione w wyniku tych incydentów często służą jako dźwignia do zapłaty okupu, ponieważ firmy starają się unikać publicznego ujawniania poufnych informacji. W tym ostatnim ataku Clop wyraźnie stwierdził, że firmy muszą pilnie odpowiedzieć na ich żądania, podkreślając ich zamiar ujawnienia pełnych nazwisk ofiar, które nie podejmują działań.
Strategie stosowane przez gang Clopa odzwierciedlają wyrafinowane zrozumienie korporacyjnych protokołów cyberbezpieczeństwa, często ukierunkowane na krytyczne rozwiązania programowe, które ułatwiają przesyłanie dużych ilości danych.
Autor wyróżnionego obrazu: Kerem Gülen/Midjourney
