A gangue de ransomware Clop assumiu a responsabilidade pela violação de dados de pelo menos 66 empresas, explorando uma vulnerabilidade nas ferramentas de transferência de arquivos da Cleo Software. Este incidente, relatado em 25 de dezembro de 2024, destaca a campanha contínua da gangue visando sistemas corporativos vulneráveis. Clop anunciou que as vítimas têm 48 horas para cumprir os pedidos de resgate, caso contrário divulgarão os nomes completos das empresas afetadas.
Gangue de ransomware Clop explora software Cleo afetando 66 empresas
A violação se concentra em uma vulnerabilidade de dia zero conhecida como CVE-2024-50623afetando Cleo LexiComVLTransfer e produtos Harmony. Essa falha permite uploads e downloads remotos de arquivos, levando a uma possível execução remota de código. Cleo confirmou que seu software é utilizado por mais de 4.000 organizações em todo o mundo, sugerindo que um grupo maior de empresas poderia estar em risco. Os hacks anteriores do Clop incluíram explorações semelhantes destinadas às plataformas Accellion, GoAnywhere e MOVEit.
As ações recentes da Clop marcam uma escalada significativa, uma vez que contactaram diretamente as vítimas, proporcionando canais seguros para negociações de resgate. A gangue publicou nomes parciais das empresas afetadas em seu dark web site, alegando que a lista atual reflete apenas aquelas que não se envolveram com elas. Isto alude ainda à possibilidade de que o número de empresas comprometidas possa ser superior ao relatado.
Cleo alertou os clientes sobre a exploração ativa da vulnerabilidade CVE-2024-50623 e lançou patches para seu software. No entanto, os pesquisadores de segurança cibernética levantaram preocupações de que essas correções possam ser suscetíveis de serem contornadas. A Huntress divulgou esta vulnerabilidade no início deste mês, alertando os usuários sobre os esforços contínuos de exploração por hackers. As implicações potenciais desta vulnerabilidade são agravadas pela confirmação da Clop de explorar a falha para facilitar as suas mais recentes operações de roubo de dados.
Starbucks restaura sistemas após ataque de ransomware Blue Yonder
Yutaka Sejiyama do Macnica disse Computador bipando que mesmo com nomes de empresas incompletos, o cruzamento com dados publicamente disponíveis nos servidores da Cleo poderia revelar algumas das vítimas. À medida que a situação evolui, permanece a incerteza em torno de quantas organizações poderão acabar por ser vítimas deste ataque e que medidas serão tomadas para resolver estas vulnerabilidades.
Clop tem um histórico notório de aproveitar vulnerabilidades de dia zero para se infiltrar em redes corporativas, como evidenciado por seus hacks anteriores conectados a outras plataformas populares de transferência de arquivos. Os dados roubados nestes incidentes servem frequentemente como alavanca para pagamentos de resgate, à medida que as empresas se esforçam para evitar a exposição pública de informações sensíveis. Neste último ataque, Clop afirmou explicitamente a urgência de as empresas responderem às suas exigências, sublinhando a sua intenção de divulgar os nomes completos das vítimas que não se envolvem.
As estratégias empregadas pela gangue Clop refletem uma compreensão sofisticada dos protocolos de segurança cibernética corporativa, muitas vezes visando soluções de software críticas que facilitam grandes transferências de dados.
Crédito da imagem em destaque: Kerem Gülen/meio da jornada
