Die Clop-Ransomware-Bande hat die Verantwortung für die jüngsten Datendiebstahlangriffe gegen Cleo übernommen und dabei Zero-Day-Schwachstellen in den Dateiübertragungsplattformen des Unternehmens ausgenutzt. Cleos verwaltete Dateiübertragungssoftware – Cleo Harmony, VLTrader und LexiCom – wurde ins Visier genommen und ermöglichte es Hackern, vertrauliche Unternehmensdaten zu stehlen.
Die Clop-Ransomware zielt auf Cleo-Datenübertragungsplattformen ab
Im Oktober 2023 behob Cleo eine Sicherheitslücke, die als identifiziert wurde CVE-2024-50623die uneingeschränkte Datei-Uploads und -Downloads ermöglichte, was möglicherweise zu Angriffen zur Remote-Codeausführung führte. Das Cybersicherheitsunternehmen Huntress stellte jedoch fest, dass der ursprüngliche Patch unwirksam war und es den Angreifern gelang, einen Bypass auszunutzen, was zu anhaltenden Datenschutzverletzungen führte. Zu diesem Verstoß gehörte das Hochladen einer JAVA-Hintertür, die den Datendiebstahl erleichterte und Hackern weiteren Zugriff auf kompromittierte Netzwerke ermöglichte.
Nach dem Angriff hat die Cybersecurity and Infrastructure Security Agency (CISA) bestätigt die Ausnutzung von CVE-2024-50623 bei jüngsten Ransomware-Aktivitäten. Cleo hat die Ausnutzung der angeblich gepatchten Schwachstelle nicht öffentlich anerkannt. Während erste Einschätzungen diese Angriffe mit einer neuen Gruppe namens Termite in Verbindung brachten, brachten weitere Untersuchungen sie eher mit den Aktivitäten von Clop in Verbindung.
Die Ransomware-Gruppe Clop, auch bekannt als TA505 und Cl0p, hat eine Erfolgsgeschichte bei der Ausnutzung von Schwachstellen in sicheren Dateiübertragungsplattformen. Diese Strategie wurde im Jahr 2020 bekannt und begann mit einem Zero-Day-Exploit im Accellion FTA, der fast hundert Organisationen betraf. Im Jahr 2021 nutzte die Gruppe eine Zero-Day-Schwachstelle in der FTP-Software SolarWinds Serv-U aus und verstärkte damit ihren Fokus auf diese Art von Angriffen.
Im Jahr 2023 wandte Clop eine ähnliche Taktik gegen die MFT-Plattform GoAnywhere an, die es ihnen ermöglichte, Daten von mehr als 100 Unternehmen zu kompromittieren. Ihre berüchtigtste Operation bestand darin, eine Schwachstelle in der MOVEit Transfer-Plattform auszunutzen, was zu Datenschutzverletzungen in 2.773 Organisationen führte. Die aktuellen Angriffe auf Cleo sind ein weiteres Kapitel in Clops laufender Kampagne gegen Dateiübertragungslösungen und rufen bei Unternehmen, die diese Plattformen nutzen, erhebliche Bedenken hervor.
Hacker nutzen die Ransomware „US Marshals“, um geheime Dokumente aus den USA zu stehlen
Cleo hat sich weitgehend zum Ausmaß der Auswirkungen geäußert und es bleibt unklar, wie viele Organisationen von den jüngsten Verstößen betroffen waren. Berichten zufolge konzentriert sich Clop auf neue Erpressungsbemühungen im Zusammenhang mit den jüngsten Cleo-Angriffen und erklärt seine Absicht, Daten früherer Opfer zu löschen. In einer Nachricht von Clops Erpressungsseite hieß es, dass Links zu früheren Opferdaten deaktiviert würden, wobei der Schwerpunkt auf der Zusammenarbeit nur mit neuen Unternehmen liegen würde, die in die Cleo-Exploits ins Visier genommen wurden.
Das US-Außenministerium verfolgt Clop, bringt sie mit ausländischen Staatsakteuren in Verbindung und hat ein Kopfgeld von 10 Millionen US-Dollar für Informationen ausgesetzt, die zu ihrer Festnahme führen.
„Was CLEO betrifft, war es unser Projekt (einschließlich des vorherigen Cleo), das erfolgreich abgeschlossen wurde. Bei allen von uns gespeicherten Informationen beachten wir bei der Arbeit alle Sicherheitsmaßnahmen. Wenn es sich bei den Daten um Regierungsdienste, Institutionen, Medizin handelt, werden wir diese Daten ohne zu zögern sofort löschen (ich möchte Sie an das letzte Mal erinnern, als es bei moveit war – alle Regierungsdaten, Medizin, Kliniken, Daten der wissenschaftlichen Forschung des Staates). wurden gelöscht), halten wir uns an unsere Vorschriften. mit Liebe © CL0P^_“, sagte Clop BleepingComputer.
Hervorgehobener Bildnachweis: Wesley Ford/Unsplash
