A Clop ransomware banda megerősítette a BleepingComputernek, hogy ők állnak a legutóbbi Cleo adatlopási támadások hátterében, akik a támadások során a CVE-2024-50623 és CVE-2024-55956 elnevezésű nulladik napi sebezhetőségeket használják ki a vállalati hálózatok feltörésére és adatok ellopására. A Cleo a fejlesztője a Cleo Harmony, a VLTrader és a LexiCom fájlátviteli platformoknak, melyek segítségével a vállalatoknál az üzleti partnerek és ügyfelek biztonságosan cserélhetnek fájlokat.
Cleo nulladik napi sebezhetőségek
Októberben a Cleo nyilvánosságra hozott egy CVE-2024-50623 néven nyomon követett sebezhetőséget, amely lehetővé tette a korlátlan fájlfeltöltést és letöltést, ami RCE-hez (remote code execution) vezetett. Ezt a hibát a Cleo Harmony, a VLTrader és a LexiCom 5.8.0.21 verziójában javították ki. A Huntress kiberbiztonsági cég a múlt héten figyelmeztetett arra, hogy a Cleo platformokat ismét célba vették az adatlopási támadások során, kihasználva egy nulladik napi sebezhetőséget. A támadók úgy használták ki ezt a sérülékenységet, hogy egy rosszindulatú JAVA backdoor-t telepítettek, amely lehetővé tette, hogy adatokat lopjanak, parancsokat futtassanak és további hozzáféréseket szerezzenek a feltört hálózatokhoz A decemberi támadásokban használt CVE-2024-55956 néven nyomon követett sérülékenység, amit a Cleo Harmony, a VLTrader és a LexiCom 5.8.0.24 verziójában javítottak. Míg a CVE-2024-50623 tetszőleges fájlok írását és olvasását is lehetővé teszi, addig a CVE-2024-55956 csak a fájlok írását.
A Clop magára vállalja a felelősséget a Cleot ért adatlopási támadásokért
A BleepingComputer felvette a kapcsolatot a Clop ransomware bandával, akik megerősítették, hogy ők állnak mindkét sebezhetőség kihasználása mögött.
A Clop ransomware banda, más néven TA505 és Cl0p, 2019 márciusában tűnt fel először, amikor célba vett egy vállalatot a CryptoMix ransomware egy változatával. Más ransomware bandákhoz hasonlóan a Clop is megsértette a vállalati hálózatokat és lassan, oldalirányban terjedt a szervezetek rendszerein keresztül, miközben adatokat és dokumentumokat lopott. Miután minden adatot begyűjtöttek, a támadók ransomware-t telepítettek a hálózatra, hogy titkosítsák az eszközöket. 2020 óta azonban ez a banda a biztonságos fájlátviteli platformok korábban ismeretlen sebezhetőségeinek kihasználására specializálódott.
A CISA is megerősítette, hogy a Cleo Harmony, a VLTrader és a LexiCom fájlátviteli szoftverek kritikus CVE-2024-50623 biztonsági sebezhetőségét ransomware támadásokban kihasználták.