Il gruppo di ransomware Clop ha rivendicato la responsabilità dei recenti attacchi di furto di dati contro Cleo, utilizzando vulnerabilità zero-day nelle piattaforme di trasferimento file dell’azienda. Il software di trasferimento file gestito di Cleo, Cleo Harmony, VLTrader e LexiCom, è stato preso di mira e consente agli hacker di rubare dati aziendali sensibili.
Il ransomware Clop prende di mira le piattaforme di trasferimento dati Cleo
Nell’ottobre 2023, Cleo ha risolto una falla di sicurezza identificata come CVE-2024-50623che consentiva caricamenti e download di file senza restrizioni, portando potenzialmente ad attacchi di esecuzione di codice in modalità remota. Tuttavia, una società di sicurezza informatica, Huntress, ha scoperto che la patch originale era inefficace e gli aggressori sono riusciti a sfruttare un bypass, provocando continue violazioni dei dati. Questa violazione includeva il caricamento di una backdoor JAVA, che facilitava il furto di dati e garantiva agli hacker ulteriore accesso alle reti compromesse.
A seguito dell’attacco, la Cybersecurity and Infrastructure Security Agency (CISA) confermato lo sfruttamento di CVE-2024-50623 nelle recenti attività di ransomware. Cleo non ha riconosciuto pubblicamente lo sfruttamento della vulnerabilità che, secondo quanto riferito, è stata corretta. Sebbene le valutazioni iniziali collegassero questi attacchi a un nuovo gruppo chiamato Termite, ulteriori indagini li hanno allineati più strettamente alle attività di Clop.
Il gruppo ransomware Clop, noto anche come TA505 e Cl0p, ha una lunga esperienza nello sfruttamento delle vulnerabilità nelle piattaforme di trasferimento file sicure. Questa strategia è diventata importante nel 2020, a partire da un exploit zero-day nell’Accellion FTA, che ha avuto un impatto su quasi un centinaio di organizzazioni. Nel 2021, il gruppo ha sfruttato una vulnerabilità zero-day nel software FTP SolarWinds Serv-U, concentrandosi ulteriormente su questi tipi di attacchi.
Nel 2023, Clop ha utilizzato una tattica simile contro la piattaforma MFT GoAnywhere, che ha permesso loro di compromettere i dati di più di 100 aziende. La loro operazione più nota prevedeva lo sfruttamento di una vulnerabilità nella piattaforma MOVEit Transfer, provocando violazioni dei dati in 2.773 organizzazioni. Gli attuali attacchi a Cleo rappresentano ancora un altro capitolo della campagna in corso di Clop contro le soluzioni di trasferimento di file, sollevando notevoli preoccupazioni tra le aziende che utilizzano queste piattaforme.
Gli hacker utilizzano il ransomware US Marshals per rubare documenti segreti dagli Stati Uniti
Cleo è rimasta in gran parte in silenzio riguardo alla portata dell’impatto e non è chiaro quante organizzazioni siano state colpite dalle recenti violazioni. I rapporti indicano che Clop si sta concentrando su nuovi tentativi di estorsione legati ai recenti attacchi Cleo, dichiarando la propria intenzione di eliminare i dati associati alle vittime precedenti. Un messaggio dal sito di estorsione di Clop affermava che i collegamenti ai dati delle vittime precedenti sarebbero stati disabilitati, con l’accento sul trattare solo con le nuove società prese di mira dagli exploit Cleo.
Il Dipartimento di Stato degli Stati Uniti sta perseguendo Clop, collegandoli ad attori statali stranieri e ha emesso una taglia di 10 milioni di dollari per informazioni che portino alla loro cattura.
“Per quanto riguarda CLEO, è stato il nostro progetto (compreso il precedente cleo) – che è stato completato con successo. Tutte le informazioni che memorizziamo, quando lavoriamo con esse, osserviamo tutte le misure di sicurezza. Se i dati riguardano servizi governativi, istituzioni, medicina, allora li cancelleremo immediatamente senza esitazione (permettetemi di ricordarvi l’ultima volta che era con moveit – tutti i dati governativi, medicine, cliniche, dati della ricerca scientifica a livello statale livello sono stati cancellati), rispettiamo le nostre normative. con affetto © CL0P^_”, ha detto Clop Computer che dorme.
Credito immagine in primo piano: Wesley Ford/Unsplash
