O grupo de ransomware Clop (também conhecido como Cl0p) está focando em servidores de arquivos Gladinet CentreStack expostos na internet em uma nova campanha de extorsão baseada no roubo de dados.
O Gladinet CentreStack permite que empresas compartilhem arquivos armazenados em servidores locais de forma segura, por meio de navegadores web, aplicativos móveis e drives mapeados, sem necessidade de VPN.
De acordo com a própria Gladinet, o CentreStack é utilizado por milhares de empresas em mais de 49 países.
Desde abril, a Gladinet vem lançando atualizações de segurança para corrigir diversas vulnerabilidades exploradas em ataques, incluindo algumas zero-days.
Atualmente, a gangue Clop tem escaneado e invadido servidores CentreStack expostos online.
Segundo a Curated Intel, notas de resgate estão sendo deixadas nos servidores comprometidos.
Até o momento, não há informações claras sobre qual vulnerabilidade está sendo explorada para atacar os servidores CentreStack.
Ainda não se sabe se trata de uma zero-day ou de uma falha conhecida que não foi corrigida pelas vítimas.
“Respondentes de incidentes da comunidade Curated Intelligence identificaram uma nova campanha de extorsão do Clop com alvos em servidores CentreStack expostos na internet”, alertou o grupo de inteligência em segurança na quinta-feira.
“De acordo com dados recentes de port scan, existem mais de 200 IPs únicos exibindo o título HTTP ‘CentreStack - Login’, tornando-os potenciais alvos do Clop, que está explorando uma vulnerabilidade desconhecida (zero-day ou n-day) nesses sistemas.”
O Clop tem um histórico consolidado de ataques a produtos de transferência segura de arquivos.
Anteriormente, o grupo esteve por trás de campanhas de roubo de dados que afetaram servidores de compartilhamento Accellion FTA, GoAnywhere MFT, Cleo e MOVEit Transfer — este último atingiu mais de 2.770 organizações em todo o mundo.
Mais recentemente, em agosto de 2025, o grupo explorou uma falha zero-day no Oracle E-Business Suite (
CVE-2025-61882
) para roubar arquivos sensíveis de diversas organizações.
Entre os clientes Oracle afetados estão Harvard University, The Washington Post, GlobalLogic, University of Pennsylvania, Logitech e a subsidiária da American Airlines, Envoy Air.
Após invadir os sistemas e extrair documentos importantes, o Clop publicou os dados roubados em seu site de vazamentos na dark web, disponiblizando-os também para download via torrent.
O Departamento de Estado dos Estados Unidos está oferecendo uma recompensa de US$ 10 milhões por informações que possam relacionar os ataques dessa gangue a algum governo estrangeiro.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...