Clop 勒索软件团伙声称对最近利用 Cleo 文件传输平台中的零日漏洞进行的数据盗窃攻击负责。 Cleo 的托管文件传输软件(Cleo Harmony、VLTrader 和 LexiCom)成为目标,使黑客能够窃取敏感的公司数据。
Clop 勒索软件针对 Cleo 数据传输平台
2023 年 10 月,Cleo 解决了一个安全漏洞,确定为 CVE-2024-50623,允许不受限制的文件上传和下载,可能导致远程代码执行攻击。然而,网络安全公司 Huntress 发现原来的补丁无效,攻击者设法利用旁路,导致持续的数据泄露。此次违规行为包括上传 JAVA 后门,这有助于数据盗窃并允许黑客进一步访问受感染的网络。
攻击发生后,网络安全和基础设施安全局 (CISA) 确认的 最近的勒索软件活动中利用了 CVE-2024-50623。 Cleo 尚未公开承认该漏洞已被利用,据报道该漏洞已被修补。虽然初步评估将这些攻击与一个名为 Termite 的新组织联系起来,但进一步的调查将它们与 Clop 的活动更加紧密地联系起来。
Clop 勒索软件组织(也称为 TA505 和 Cl0p)拥有利用安全文件传输平台漏洞的记录。这一策略在 2020 年变得突出,从 Accellion FTA 中的零日漏洞利用开始,影响了近百个组织。 2021 年,该组织利用 SolarWinds Serv-U FTP 软件中的零日漏洞,进一步确立了对此类攻击的关注。
2023 年,Clop 对 GoAnywhere MFT 平台采用了类似的策略,这使他们能够泄露来自 100 多家公司的数据。他们最臭名昭著的行动涉及利用 MOVEit Transfer 平台中的漏洞,导致 2,773 个组织的数据泄露。当前对 Cleo 的攻击是 Clop 正在进行的针对文件传输解决方案的活动的又一章,引起了使用这些平台的企业的严重担忧。
Cleo 对于影响的程度基本上保持沉默,目前尚不清楚有多少组织受到最近的违规行为的影响。报告表明,Clop 正在关注与最近的 Cleo 攻击相关的新勒索活动,并宣布他们打算删除与先前受害者相关的数据。来自 Clop 勒索网站的一条消息称,与先前受害者数据的链接将被禁用,重点是仅与 Cleo 漏洞利用的新公司打交道。
美国国务院正在追捕克洛普,将他们与外国国家行为者联系起来,并悬赏 1000 万美元寻找有助于抓获他们的信息。
“至于 CLEO,这是我们的项目(包括之前的 cleo)——已成功完成。我们存储的所有信息在使用时都会遵守所有安全措施。如果数据是政府服务、机构、医疗,那么我们会毫不犹豫地立即删除这些数据(让我提醒您上次使用moveit时 – 所有政府数据、医疗、诊所、国家的科学研究数据)级别已删除),我们遵守我们的规定。充满爱©CL0P^_,”克洛普告诉 电脑发出蜂鸣声。
特色图片来源: 韦斯利·福特/Unsplash
