O grupo de ransomware Clop confirmou que está por trás dos recentes ataques de roubo de dados da Cleo, utilizando exploits de zero-day para invadir redes corporativas e roubar dados.
A Cleo é a desenvolvedora das plataformas de transferência de arquivos gerenciada Cleo Harmony, VLTrader e LexiCom, que as empresas usam para trocar arquivos de forma segura entre seus parceiros comerciais e clientes.
Em outubro, a Cleo corrigiu uma vulnerabilidade identificada como CVE-2024-50623 que permitia uploads e downloads de arquivos sem restrições, levando à execução remota de código.
No entanto, a empresa de cibersegurança Huntress descobriu na semana passada que o patch original estava incompleto e que os cibercriminosos estavam ativamente explorando uma brecha para realizar ataques de roubo de dados.
Ao explorar essa vulnerabilidade, os cibercriminosos estavam fazendo upload de um backdoor em JAVA que permitia aos atacantes roubar dados, executar comandos e obter mais acesso à rede comprometida.
Na sexta-feira, o CISA confirmou que a crítica vulnerabilidade de segurança CVE-2024-50623 nos softwares de transferência de arquivos Cleo Harmony, VLTrader e LexiCom foi explorada em ataques de ransomware.
No entanto, a Cleo nunca divulgou publicamente que a falha original que tentaram corrigir em outubro foi explorada.
Anteriormente, acreditava-se que os ataques à Cleo fossem conduzidos por um novo grupo de ransomware chamado Termite.
No entanto, os ataques de roubo de dados da Cleo se assemelhavam mais aos ataques anteriores conduzidos pelo grupo de ransomware Clop.
Após entrar em contato com o Clop na terça-feira, o grupo de ransomware confirmou que está por trás da recente exploração da vulnerabilidade da Cleo detectada pela Huntress, bem como da exploração da falha original CVE-2024-50623 corrigida em outubro.
O grupo de extorsão agora anunciou que está deletando dados associados a ataques passados de seu servidor de vazamento de dados e trabalhará apenas com novas empresas violadas nos ataques à Cleo.
"Prezadas empresas, Devido aos eventos recentes (ataque da CLEO) todos os links para dados de todas as empresas serão desabilitados e os dados serão permanentemente deletados dos servidores.
Trabalharemos apenas com novas empresas", lê-se em uma nova mensagem no site de extorsão CL0P^_- LEAKS.
"Feliz Ano Novo © CL0P^_ todas as vítimas de nosso site de vazamento de dados."
O grupo de ransomware Clop, também conhecido como TA505 e Cl0p, foi lançado em março de 2019, quando começou a mirar em empresas usando uma variante do ransomware CryptoMix.
Como outros grupos de ransomware, o Clop invadia redes corporativas e se espalhava lateralmente por seus sistemas enquanto roubava dados e documentos.
Quando coletavam tudo de valor, implantavam ransomware na rede para criptografar seus dispositivos.
No entanto, desde 2020, o grupo de ransomware se especializou em visar vulnerabilidades anteriormente desconhecidas em plataformas de transferência de arquivos seguros para ataques de roubo de dados.
Em dezembro de 2020, o Clop explorou um zero-day na plataforma de transferência de arquivos segura Accellion FTA, impactando quase cem organizações.
Em 2021, o grupo de ransomware explorou um zero-day no software SolarWinds Serv-U FTP para roubar dados e invadir redes.
Em 2023, o Clop explorou um zero-day na plataforma GoAnywhere MFT, permitindo ao grupo de ransomware roubar dados de mais de 100 empresas novamente.
No entanto, seu ataque mais significativo desse tipo foi usando um zero-day na plataforma MOVEit Transfer que permitiu que roubassem dados de 2.773 organizações, de acordo com um relatório da Emsisoft.
Neste momento, não está claro quantas empresas foram impactadas pelos ataques de roubo de dados da Cleo.
O programa Rewards for Justice do Departamento de Estado dos EUA atualmente oferece uma recompensa de $10 milhões por informações que vinculem os ataques de ransomware do Clop a um governo estrangeiro.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...