Οι 66 εταιρείες που πλήττει το Clop Ransomware: Ελέγξτε την ασφάλειά σας

Η συμμορία ransomware Clop έχει αναλάβει την ευθύνη για παραβίαση δεδομένων από τουλάχιστον 66 εταιρείες, εκμεταλλευόμενη μια ευπάθεια στα εργαλεία μεταφοράς αρχείων της Cleo Software. Αυτό το περιστατικό, που αναφέρθηκε στις 25 Δεκεμβρίου 2024, υπογραμμίζει τη συνεχιζόμενη εκστρατεία της συμμορίας που στοχεύει ευάλωτα εταιρικά συστήματα. Ο Clop ανακοίνωσε ότι τα θύματα έχουν 48 ώρες για να συμμορφωθούν με τα αιτήματά τους για λύτρα, σε αντίθετη περίπτωση θα δημοσιοποιήσουν τα πλήρη ονόματα των εταιρειών που επηρεάζονται.

Η συμμορία Clop ransomware εκμεταλλεύεται το λογισμικό Cleo επηρεάζοντας 66 εταιρείες

Η παραβίαση επικεντρώνεται σε μια ευπάθεια zero-day γνωστή ως CVE-2024-50623, η οποία επηρεάζει το Cleo’s LexiComπροϊόντα , VLTransfer και Harmony. Αυτό το ελάττωμα επιτρέπει απομακρυσμένες μεταφορτώσεις και λήψεις αρχείων, οδηγώντας σε πιθανή απομακρυσμένη εκτέλεση κώδικα. Η Cleo επιβεβαίωσε ότι το λογισμικό της χρησιμοποιείται από περισσότερους από 4.000 οργανισμούς παγκοσμίως, υποδηλώνοντας ότι μια μεγαλύτερη ομάδα εταιρειών θα μπορούσε να κινδυνεύσει. Τα προηγούμενα hacks από τον Clop περιελάμβαναν παρόμοια exploits που στόχευαν στις πλατφόρμες Accellion, GoAnywhere και MOVEit.

Οι πρόσφατες ενέργειες του Clop σηματοδοτούν μια σημαντική κλιμάκωση, καθώς έχουν έρθει σε άμεση επαφή με τα θύματα, παρέχοντας ασφαλείς διαύλους για διαπραγματεύσεις για τα λύτρα. Η συμμορία δημοσίευσε μερικά ονόματα των επηρεαζόμενων εταιρειών στον σκοτεινό ιστότοπό της, υποστηρίζοντας ότι η τρέχουσα λίστα αντικατοπτρίζει μόνο όσους δεν έχουν ασχοληθεί μαζί τους. Αυτό παραπέμπει περαιτέρω στην πιθανότητα ότι ο αριθμός των παραβιασμένων εταιρειών θα μπορούσε να είναι μεγαλύτερος από τον αναφερόμενο.

Η Cleo έχει προειδοποιήσει τους πελάτες για την ενεργή εκμετάλλευση της ευπάθειας CVE-2024-50623 και έχει κυκλοφορήσει ενημερώσεις κώδικα για το λογισμικό της. Ωστόσο, οι ερευνητές στον τομέα της κυβερνοασφάλειας έχουν εκφράσει ανησυχίες ότι αυτές οι διορθώσεις ενδέχεται να είναι επιρρεπείς σε παράκαμψη. Η Huntress αποκάλυψε αυτήν την ευπάθεια νωρίτερα αυτό το μήνα, ειδοποιώντας τους χρήστες για συνεχιζόμενες προσπάθειες εκμετάλλευσης από χάκερ. Οι πιθανές συνέπειες αυτής της ευπάθειας επιδεινώνονται από την επιβεβαίωση της Clop ότι εκμεταλλεύεται το ελάττωμα για να διευκολύνει τις τελευταίες λειτουργίες κλοπής δεδομένων.

Το Starbucks επαναφέρει τα συστήματα μετά από επίθεση ransomware στο Blue Yonder

είπε ο Yutaka Sejiyama της Macnica Υπολογιστής Bleeping ότι ακόμη και με ελλιπή ονόματα εταιρειών, η διασταύρωση με δημόσια διαθέσιμα δεδομένα στους διακομιστές Cleo θα μπορούσε να αποκαλύψει ορισμένα από τα θύματα. Καθώς η κατάσταση εξελίσσεται, εξακολουθεί να υπάρχει αβεβαιότητα σχετικά με το πόσοι οργανισμοί ενδέχεται να πέσουν τελικά θύματα αυτής της επίθεσης και ποια μέτρα θα ληφθούν για την αντιμετώπιση αυτών των τρωτών σημείων.

Ο Clop έχει μια περιβόητη ιστορία μόχλευσης τρωτών σημείων zero-day για να διεισδύσει σε εταιρικά δίκτυα, όπως αποδεικνύεται από τα προηγούμενα hacks του που συνδέονται με άλλες δημοφιλείς πλατφόρμες μεταφοράς αρχείων. Τα κλεμμένα δεδομένα από αυτά τα περιστατικά συχνά χρησιμεύουν ως μοχλός για πληρωμές λύτρων, καθώς οι εταιρείες προσπαθούν να αποφύγουν τη δημόσια έκθεση ευαίσθητων πληροφοριών. Σε αυτήν την τελευταία επίθεση, ο Clop δήλωσε ρητά την επείγουσα ανάγκη για τις εταιρείες να ανταποκριθούν στα αιτήματά τους, υπογραμμίζοντας την πρόθεσή τους να δημοσιοποιήσουν τα πλήρη ονόματα των θυμάτων που δεν εμπλέκονται.

Οι στρατηγικές που χρησιμοποιούνται από τη συμμορία Clop αντικατοπτρίζουν μια εξελιγμένη κατανόηση των εταιρικών πρωτοκόλλων κυβερνοασφάλειας, που συχνά στοχεύουν σε κρίσιμες λύσεις λογισμικού που διευκολύνουν μεγάλες μεταφορές δεδομένων.

Πίστωση επιλεγμένης εικόνας: Κερέμ Γκιουλέν/Μέσα ταξίδι