Die Clop-Ransomware-Bande hat die Verantwortung für den Verstoß gegen die Daten von mindestens 66 Unternehmen übernommen und dabei eine Schwachstelle in den Dateiübertragungstools von Cleo Software ausgenutzt. Dieser Vorfall, der am 25. Dezember 2024 gemeldet wurde, unterstreicht die laufende Kampagne der Bande, die auf anfällige Unternehmenssysteme abzielt. Clop kündigte an, dass die Opfer 48 Stunden Zeit hätten, ihren Lösegeldforderungen nachzukommen, andernfalls würden sie die vollständigen Namen der betroffenen Unternehmen veröffentlichen.
Die Clop-Ransomware-Bande nutzt die Cleo-Software aus und betrifft 66 Unternehmen
Der Verstoß konzentriert sich auf eine Zero-Day-Schwachstelle namens CVE-2024-50623Auswirkungen auf Cleos LexiComVLTransfer und Harmony-Produkte. Dieser Fehler ermöglicht das Hoch- und Herunterladen von Dateien aus der Ferne, was zu einer potenziellen Codeausführung aus der Ferne führen kann. Cleo bestätigte, dass seine Software von über 4.000 Organisationen weltweit genutzt wird, was darauf hindeutet, dass ein größerer Kreis von Unternehmen gefährdet sein könnte. Frühere Hacks von Clop beinhalteten ähnliche Exploits, die auf die Plattformen Accellion, GoAnywhere und MOVEit abzielten.
Die jüngsten Aktionen von Clop stellen eine erhebliche Eskalation dar, da Clop die Opfer direkt kontaktiert und sichere Kanäle für Lösegeldverhandlungen bereitgestellt hat. Die Bande veröffentlichte teilweise Namen betroffener Unternehmen auf ihrer dunklen Website und behauptete, dass die aktuelle Liste nur diejenigen widerspiegele, die nicht mit ihnen zusammengearbeitet hätten. Dies deutet weiter auf die Möglichkeit hin, dass die Zahl der gefährdeten Unternehmen höher sein könnte als gemeldet.
Cleo hat Kunden vor der aktiven Ausnutzung der Sicherheitslücke CVE-2024-50623 gewarnt und Patches für seine Software veröffentlicht. Cybersicherheitsforscher haben jedoch Bedenken geäußert, dass diese Korrekturen möglicherweise umgangen werden könnten. Huntress hat diese Sicherheitslücke Anfang des Monats offengelegt und Benutzer auf die anhaltenden Ausnutzungsbemühungen von Hackern aufmerksam gemacht. Die potenziellen Auswirkungen dieser Sicherheitslücke werden durch die Bestätigung von Clop verschärft, dass sie die Schwachstelle ausgenutzt haben, um ihre jüngsten Datendiebstahloperationen zu erleichtern.
Starbucks stellt Systeme nach Blue Yonder-Ransomware-Angriff wieder her
Yutaka Sejiyama von Macnica erzählte Piepender Computer dass selbst bei unvollständigen Firmennamen ein Querverweis mit öffentlich zugänglichen Daten auf Cleo-Servern einige der Opfer aufdecken könnte. Während sich die Situation weiterentwickelt, bleibt Unsicherheit darüber bestehen, wie viele Organisationen letztendlich Opfer dieses Angriffs werden und welche Maßnahmen zur Behebung dieser Schwachstellen ergriffen werden.
Clop hat eine berüchtigte Geschichte darin, Zero-Day-Schwachstellen auszunutzen, um Unternehmensnetzwerke zu infiltrieren, wie ihre früheren Hacks im Zusammenhang mit anderen beliebten Dateiübertragungsplattformen belegen. Die bei diesen Vorfällen gestohlenen Daten dienen oft als Druckmittel für Lösegeldzahlungen, da Unternehmen versuchen, die Offenlegung sensibler Informationen an die Öffentlichkeit zu verhindern. Bei diesem jüngsten Angriff betonte Clop ausdrücklich die Dringlichkeit, dass Unternehmen auf ihre Forderungen reagieren, und unterstrich ihre Absicht, die vollständigen Namen der Opfer preiszugeben, die sich nicht engagieren.
Die von der Clop-Bande eingesetzten Strategien spiegeln ein ausgefeiltes Verständnis der Cybersicherheitsprotokolle von Unternehmen wider und zielen häufig auf kritische Softwarelösungen ab, die große Datenübertragungen ermöglichen.
Hervorgehobener Bildnachweis: Kerem Gülen/Midjourney
