Banda de ransomware Clop a început să extorcheze victimele atacurilor sale de furt de date Cleo și a anunțat pe portalul său dark web că 66 de companii au 48 de ore pentru a răspunde la cereri.
Cybercriminalii au anunțat că contactează direct acele companii pentru a le oferi linkuri către un canal de chat securizat pentru negocieri privind plata răscumpărării. De asemenea, au furnizat adrese de email la care victimele se pot adresa singure.
În notificarea de pe site-ul lor de scurgeri, Clop listează 66 de nume parțiale de companii care nu au interacționat cu hackerii pentru negocieri. Dacă aceste companii continuă să ignore, Clop amenință că va dezvălui numele lor complet în 48 de ore.
Hackerii menționează că lista reprezintă doar victimele contactate dar care nu au răspuns la mesaj, sugerând că lista companiilor afectate ar putea fi mai mare.
Atacul de furt de date Cleo reprezintă încă un succes major pentru Clop, care a exploatat o vulnerabilitate zero-day în produsele Cleo LexiCom, VLTransfer și Harmony pentru a fura date din rețelele companiilor compromise.
În trecut, ransomware-ul Clop a accesat rețelele companiilor exploatând vulnerabilități zero-day în platforma de transfer securizat de fișiere Accellion FTA, platforma GoAnywhere MFT și platforma de transfer MOVEit.
Banda este de asemenea responsabilă pentru o altă serie de hack-uri vizând companiile care rulează software-ul SolarWinds Serv-U FTP.
Deficiența zero-day exploatată de această dată este acum urmărită ca CVE-2024-50623 și permite unui atacator remote să efectueze încărcări și descărcări de fișiere nelimitate, ducând la executare de cod remote.
O soluție este disponibilă pentru versiunea 5.8.0.21 a Cleo Harmony, VLTrader și LexiCom, iar vendorul a avertizat într-o notificare privată că hackerii o exploatează pentru a deschide reverse shells pe rețelele compromise.
Mai devreme în acest lună, Huntress a dezvăluit public că vulnerabilitatea era exploatată activ și a tras un semnal de alarmă că soluția vendorului ar putea fi ocolită. Cercetătorii au furnizat de asemenea un exploit proof-of-concept (PoC) pentru a-și demonstra descoperirile.
Câteva zile mai târziu, ransomware-ul Clop a confirmat că a fost responsabil pentru exploatarea CVE-2024-50623.
Grupul de ransomware infam a declarat că datele din atacurile anterioare vor fi acum șterse de pe platforma sa pe măsură ce se concentrează pe noua rundă de extorsiune.
Într-un email către BleepingComputer, cercetătorul Macnica Yutaka Sejiyama a declarat că chiar și cu numele incomplete ale companiilor pe care Clop le-a publicat pe site-ul său de scurgeri de date, este posibil să identifici unele dintre victime doar verificând sugestiile hackerilor cu proprietarii serverelor Cleo expuse pe web-ul public.
În acest moment, nu se știe câte companii au fost compromise de valul de atacuri cel mai recent al lui Clop, dar Cleo susține că software-ul său este folosit de peste 4.000 de organizații la nivel mondial.
Leave a Reply