De ransomwarebende Clop heeft de verantwoordelijkheid opgeëist voor recente datadiefstalaanvallen tegen Cleo, waarbij gebruik werd gemaakt van zero-day-kwetsbaarheden in de bestandsoverdrachtplatforms van het bedrijf. Cleo’s beheerde software voor bestandsoverdracht (Cleo Harmony, VLTrader en LexiCom) was het doelwit, waardoor hackers gevoelige bedrijfsgegevens konden stelen.
Clop-ransomware richt zich op Cleo-platforms voor gegevensoverdracht
In oktober 2023 loste Cleo een beveiligingsprobleem op dat werd geïdentificeerd als CVE-2024-50623waardoor onbeperkte uploads en downloads van bestanden mogelijk waren, wat mogelijk kon leiden tot aanvallen op het uitvoeren van externe code. Een cyberbeveiligingsbedrijf, Huntress, ontdekte echter dat de oorspronkelijke patch niet effectief was en aanvallers slaagden erin een bypass te misbruiken, wat resulteerde in voortdurende datalekken. Deze inbreuk omvatte het uploaden van een JAVA-achterdeur, waardoor gegevensdiefstal mogelijk werd gemaakt en hackers verdere toegang tot gecompromitteerde netwerken kregen.
Na de aanval heeft de Cybersecurity and Infrastructure Security Agency (CISA) bevestigd de exploitatie van CVE-2024-50623 bij recente ransomware-activiteiten. Cleo heeft de exploitatie van de kwetsbaarheid die naar verluidt is gepatcht, niet publiekelijk erkend. Terwijl de eerste beoordelingen deze aanvallen in verband brachten met een nieuwe groep genaamd Termite, bracht verder onderzoek ze nauwer in lijn met de activiteiten van Clop.
De Clop-ransomwaregroep, ook bekend als TA505 en Cl0p, heeft een trackrecord in het misbruiken van kwetsbaarheden in veilige bestandsoverdrachtplatforms. Deze strategie werd prominent in 2020, te beginnen met een zero-day-exploit in de Accellion FTA, die gevolgen had voor bijna honderd organisaties. In 2021 maakte de groep gebruik van een zero-day-kwetsbaarheid in de SolarWinds Serv-U FTP-software, waardoor de focus op dit soort aanvallen verder werd gevestigd.
In 2023 gebruikte Clop een soortgelijke tactiek tegen het GoAnywhere MFT-platform, waardoor ze gegevens van meer dan 100 bedrijven konden compromitteren. Hun meest beruchte operatie betrof het misbruiken van een kwetsbaarheid in het MOVEit Transfer-platform, resulterend in datalekken bij 2.773 organisaties. De huidige aanvallen op Cleo vormen het zoveelste hoofdstuk in de voortdurende campagne van Clop gericht op oplossingen voor bestandsoverdracht, wat aanleiding geeft tot grote zorgen bij bedrijven die deze platforms gebruiken.
Hackers gebruiken de US Marshals-ransomware om geheime documenten uit de VS te stelen
Cleo zwijgt grotendeels over de omvang van de impact, en het blijft onduidelijk hoeveel organisaties getroffen zijn door de recente inbreuken. Uit rapporten blijkt dat Clop zich richt op nieuwe afpersingsinspanningen in verband met de recente Cleo-aanvallen, waarbij zij hun intentie kenbaar maken om gegevens over eerdere slachtoffers te verwijderen. In een bericht van de afpersingssite van Clop stond dat links naar eerdere slachtoffergegevens zouden worden uitgeschakeld, met de nadruk op het alleen omgaan met nieuwe bedrijven die het doelwit waren van de Cleo-exploits.
Het Amerikaanse ministerie van Buitenlandse Zaken achtervolgt Clop, koppelt hen aan buitenlandse staatsactoren en heeft een premie van $ 10 miljoen uitgekeerd voor informatie die tot hun arrestatie leidt.
“Wat CLEO betreft: ons project (inclusief de vorige cleo) is met succes afgerond. Bij alle informatie die wij opslaan nemen wij alle veiligheidsmaatregelen in acht wanneer wij ermee werken. Als de gegevens overheidsdiensten, instellingen, medicijnen zijn, dan zullen we deze gegevens onmiddellijk en zonder aarzeling verwijderen (laat me u herinneren aan de laatste keer dat het met moveit was – alle overheidsgegevens, medicijnen, klinieken, gegevens van wetenschappelijk onderzoek bij de staat niveau zijn verwijderd), voldoen wij aan onze regelgeving. met liefde © CL0P^_,” vertelde Clop BleepingComputer.
Uitgelichte afbeeldingscredits: Wesley Ford/Unsplash
