Il gruppo di ransomware Clop ha rivendicato la responsabilità di aver violato i dati di almeno 66 aziende, sfruttando una vulnerabilità negli strumenti di trasferimento file di Cleo Software. Questo incidente, segnalato il 25 dicembre 2024, evidenzia la campagna in corso della banda contro i sistemi aziendali vulnerabili. Clop ha annunciato che le vittime hanno 48 ore per soddisfare le loro richieste di riscatto, altrimenti rilasceranno i nomi completi delle aziende interessate.
La banda del ransomware Clop sfrutta il software Cleo colpendo 66 aziende
La violazione è incentrata su una vulnerabilità zero-day nota come CVE-2024-50623colpendo quello di Cleo LexiComVLTransfer e prodotti Harmony. Questo difetto consente caricamenti e download di file remoti, con conseguente potenziale esecuzione di codice remoto. Cleo ha confermato che il suo software è utilizzato da oltre 4.000 organizzazioni in tutto il mondo, suggerendo che un gruppo più ampio di aziende potrebbe essere a rischio. I precedenti hack di Clop includevano exploit simili mirati alle piattaforme Accellion, GoAnywhere e MOVEit.
Le recenti azioni di Clop segnano un’escalation significativa, poiché hanno contattato direttamente le vittime, fornendo canali sicuri per le trattative di riscatto. Il gruppo ha pubblicato i nomi parziali delle aziende interessate sul proprio sito web oscuro, sostenendo che l’elenco attuale riflette solo coloro che non hanno collaborato con loro. Ciò allude ulteriormente alla possibilità che il numero di aziende compromesse possa essere superiore a quanto riportato.
Cleo ha avvisato i clienti dello sfruttamento attivo della vulnerabilità CVE-2024-50623 e ha rilasciato patch per il suo software. Tuttavia, i ricercatori di sicurezza informatica hanno sollevato preoccupazioni sul fatto che queste soluzioni potrebbero essere suscettibili di essere aggirate. Huntress ha rivelato questa vulnerabilità all’inizio di questo mese, avvisando gli utenti dei tentativi di sfruttamento in corso da parte degli hacker. Le potenziali implicazioni di questa vulnerabilità sono aggravate dalla conferma di Clop di sfruttare la falla per facilitare le ultime operazioni di furto di dati.
Starbucks ripristina i sistemi dopo l’attacco del ransomware Blue Yonder
Lo ha raccontato Yutaka Sejiyama di Macnica Computer che suona che anche con nomi di aziende incompleti, i riferimenti incrociati con i dati disponibili al pubblico sui server Cleo potrebbero rivelare alcune delle vittime. Con l’evolversi della situazione, permane incertezza su quante organizzazioni potrebbero infine cadere vittime di questo attacco e su quali misure verranno adottate per affrontare queste vulnerabilità.
Clop ha una storia nota di sfruttamento delle vulnerabilità zero-day per infiltrarsi nelle reti aziendali, come dimostrano i suoi precedenti attacchi collegati ad altre popolari piattaforme di trasferimento file. I dati rubati in questi incidenti spesso fungono da leva per il pagamento del riscatto, poiché le aziende si sforzano di evitare l’esposizione pubblica di informazioni sensibili. In quest’ultimo attacco, Clop ha affermato esplicitamente l’urgenza che le aziende rispondano alle loro richieste, sottolineando la loro intenzione di rilasciare i nomi completi delle vittime che non si impegnano.
Le strategie impiegate dalla banda Clop riflettono una comprensione sofisticata dei protocolli di sicurezza informatica aziendale, spesso prendendo di mira soluzioni software critiche che facilitano grandi trasferimenti di dati.
Credito immagine in primo piano: Kerem Gülen/Metà viaggio
