De ransomwarebende Clop heeft de verantwoordelijkheid opgeëist voor het hacken van gegevens van minstens 66 bedrijven, waarbij misbruik werd gemaakt van een kwetsbaarheid in de bestandsoverdrachttools van Cleo Software. Dit incident, gerapporteerd op 25 december 2024, benadrukt de voortdurende campagne van de bende tegen kwetsbare bedrijfssystemen. Clop kondigde aan dat de slachtoffers 48 uur de tijd hebben om aan hun losgeldeisen te voldoen. Bij gebreke daarvan zullen zij de volledige namen van de getroffen bedrijven vrijgeven.
De Clop-ransomwarebende exploiteert Cleo-software en treft 66 bedrijven
De inbreuk concentreert zich op een zero-day-kwetsbaarheid die bekend staat als CVE-2024-50623wat van invloed is op Cleo LexiComVLTransfer- en Harmony-producten. Deze fout maakt het uploaden en downloaden van bestanden op afstand mogelijk, wat kan leiden tot mogelijke uitvoering van code op afstand. Cleo bevestigde dat zijn software wereldwijd door meer dan 4.000 organisaties wordt gebruikt, wat erop wijst dat een grotere groep bedrijven gevaar zou kunnen lopen. Eerdere hacks van Clop omvatten soortgelijke exploits gericht op de Accellion-, GoAnywhere- en MOVEit-platforms.
De recente acties van Clop markeren een aanzienlijke escalatie, aangezien ze rechtstreeks contact hebben opgenomen met de slachtoffers en zo veilige kanalen bieden voor onderhandelingen over losgeld. De bende publiceerde gedeeltelijke namen van getroffen bedrijven op hun dark website en beweerde dat de huidige lijst alleen degenen weergeeft die niet met hen in zee zijn gegaan. Dit verwijst verder naar de mogelijkheid dat het aantal gecompromitteerde bedrijven hoger zou kunnen zijn dan gerapporteerd.
Cleo heeft klanten gewaarschuwd voor de actieve exploitatie van de CVE-2024-50623-kwetsbaarheid en heeft patches voor zijn software uitgebracht. Onderzoekers op het gebied van cyberbeveiliging hebben echter hun bezorgdheid geuit dat deze oplossingen mogelijk kunnen worden omzeild. Huntress maakte dit beveiligingslek eerder deze maand bekend en waarschuwde gebruikers voor voortdurende exploitatie-inspanningen door hackers. De potentiële implicaties van dit beveiligingslek worden nog verergerd door de bevestiging van Clop dat hij het lek zal misbruiken om hun nieuwste gegevensdiefstaloperaties te vergemakkelijken.
Starbucks herstelt systemen na Blue Yonder ransomware-aanval
Macnica’s Yutaka Sejiyama vertelde het Piepende computer dat zelfs met onvolledige namen van bedrijven kruisverwijzingen met openbaar beschikbare gegevens op Cleo-servers enkele van de slachtoffers aan het licht zouden kunnen brengen. Naarmate de situatie zich ontwikkelt, blijft er onzekerheid bestaan over hoeveel organisaties uiteindelijk het slachtoffer zullen worden van deze aanval en welke maatregelen zullen worden genomen om deze kwetsbaarheden aan te pakken.
Clop heeft een beruchte geschiedenis in het benutten van zero-day-kwetsbaarheden om bedrijfsnetwerken te infiltreren, zoals blijkt uit hun eerdere hacks die verband hielden met andere populaire platforms voor bestandsoverdracht. De gestolen gegevens uit deze incidenten dienen vaak als hefboom voor losgeldbetalingen, omdat bedrijven ernaar streven de publieke openbaarmaking van gevoelige informatie te voorkomen. Bij deze laatste aanval heeft Clop expliciet de urgentie voor bedrijven benadrukt om op hun eisen te reageren, en onderstreepte zij hun intentie om de volledige namen vrij te geven van slachtoffers die zich niet engageren.
De strategieën van de Clop-bende weerspiegelen een geavanceerd begrip van cyberbeveiligingsprotocollen van bedrijven, vaak gericht op kritische softwareoplossingen die grote gegevensoverdrachten mogelijk maken.
Uitgelichte afbeeldingscredits: Kerem Gülen/Midjourney
