A gangue de ransomware Clop assumiu a responsabilidade pelos recentes ataques de roubo de dados contra Cleo, utilizando vulnerabilidades de dia zero nas plataformas de transferência de arquivos da empresa. O software gerenciado de transferência de arquivos da Cleo – Cleo Harmony, VLTrader e LexiCom – foi alvo, permitindo que hackers roubassem dados corporativos confidenciais.
Clop ransomware tem como alvo plataformas de transferência de dados Cleo
Em outubro de 2023, Cleo corrigiu uma falha de segurança identificada como CVE-2024-50623que permitia uploads e downloads irrestritos de arquivos, potencialmente levando a ataques de execução remota de código. No entanto, uma empresa de segurança cibernética, a Huntress, descobriu que o patch original era ineficaz e os invasores conseguiram explorar um desvio, resultando em violações contínuas de dados. Essa violação incluiu o upload de um backdoor JAVA, que facilitou o roubo de dados e concedeu aos hackers acesso adicional às redes comprometidas.
Após o ataque, a Agência de Segurança Cibernética e de Infraestrutura (CISA) confirmado a exploração de CVE-2024-50623 em atividades recentes de ransomware. Cleo não reconheceu publicamente a exploração da vulnerabilidade que teria sido corrigida. Embora as avaliações iniciais ligassem estes ataques a um novo grupo chamado Cupim, investigações posteriores alinharam-nos mais estreitamente com as atividades do Clop.
O grupo de ransomware Clop, também conhecido como TA505 e Cl0p, tem um histórico de exploração de vulnerabilidades em plataformas seguras de transferência de arquivos. Esta estratégia tornou-se proeminente em 2020, começando com uma exploração de dia zero no Accellion FTA, impactando quase uma centena de organizações. Em 2021, o grupo aproveitou uma vulnerabilidade de dia zero no software FTP SolarWinds Serv-U, estabelecendo ainda mais seu foco nesses tipos de ataques.
Em 2023, Clop empregou uma tática semelhante contra a plataforma GoAnywhere MFT, que lhes permitiu comprometer dados de mais de 100 empresas. A operação mais notória envolveu a exploração de uma vulnerabilidade na plataforma MOVEit Transfer, resultando em violações de dados em 2.773 organizações. Os atuais ataques a Cleo são mais um capítulo na campanha contínua da Clop visando soluções de transferência de arquivos, levantando preocupações significativas entre as empresas que utilizam essas plataformas.
Hackers usam ransomware US Marshals para roubar documentos secretos dos EUA
Cleo permaneceu em grande parte em silêncio sobre a extensão do impacto e ainda não está claro quantas organizações foram afetadas pelas violações recentes. Os relatórios indicam que Clop está se concentrando em novos esforços de extorsão relacionados aos recentes ataques Cleo, declarando sua intenção de excluir dados associados a vítimas anteriores. Uma mensagem do site de extorsão de Clop afirmava que os links para dados de vítimas anteriores seriam desativados, com ênfase em lidar apenas com novas empresas alvo das explorações de Cleo.
O Departamento de Estado dos Estados Unidos está a perseguir Clop, ligando-o a intervenientes estatais estrangeiros e emitiu uma recompensa de 10 milhões de dólares por informações que levem à sua captura.
“Quanto ao CLEO, foi o nosso projeto (incluindo o cleo anterior) – que foi concluído com sucesso. Todas as informações que armazenamos, ao trabalhar com elas, observamos todas as medidas de segurança. Se os dados forem serviços governamentais, instituições, medicamentos, então excluiremos imediatamente esses dados sem hesitação (deixe-me lembrá-los da última vez em que foi com o moveit – todos os dados governamentais, medicamentos, clínicas, dados de pesquisas científicas no estado nível foram excluídos), cumprimos nossos regulamentos. com amor © CL0P^_”, disse Clop BipandoComputador.
Crédito da imagem em destaque: Wesley Ford/Unsplash
