La banda de ransomware Clop se ha atribuido la responsabilidad de los recientes ataques de robo de datos contra Cleo, utilizando vulnerabilidades de día cero en las plataformas de transferencia de archivos de la empresa. El software de transferencia de archivos administrados de Cleo (Cleo Harmony, VLTrader y LexiCom) fue el objetivo, lo que permitió a los piratas informáticos robar datos corporativos confidenciales.
Clop ransomware apunta a las plataformas de transferencia de datos Cleo
En octubre de 2023, Cleo abordó una falla de seguridad identificada como CVE-2024-50623que permitía cargas y descargas de archivos sin restricciones, lo que podría provocar ataques de ejecución remota de código. Sin embargo, una empresa de ciberseguridad, Huntress, descubrió que el parche original era ineficaz y los atacantes lograron aprovechar una derivación, lo que provocó continuas filtraciones de datos. Esta infracción incluyó la carga de una puerta trasera JAVA, que facilitó el robo de datos y otorgó a los piratas informáticos un mayor acceso a las redes comprometidas.
Tras el ataque, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) confirmado la explotación de CVE-2024-50623 en actividades recientes de ransomware. Cleo no ha reconocido públicamente la explotación de la vulnerabilidad que supuestamente fue reparada. Si bien las evaluaciones iniciales vincularon estos ataques con un nuevo grupo llamado Termite, investigaciones posteriores los alinearon más estrechamente con las actividades de Clop.
El grupo de ransomware Clop, también conocido como TA505 y Cl0p, tiene un historial de explotación de vulnerabilidades en plataformas seguras de transferencia de archivos. Esta estrategia se hizo prominente en 2020, comenzando con un exploit de día cero en Accellion FTA, que afectó a casi cien organizaciones. En 2021, el grupo aprovechó una vulnerabilidad de día cero en el software FTP SolarWinds Serv-U, estableciendo aún más su enfoque en este tipo de ataques.
En 2023, Clop empleó una táctica similar contra la plataforma GoAnywhere MFT, que les permitió comprometer datos de más de 100 empresas. Su operación más notoria implicó la explotación de una vulnerabilidad en la plataforma MOVEit Transfer, lo que resultó en violaciones de datos en 2.773 organizaciones. Los ataques actuales a Cleo son otro capítulo más de la actual campaña de Clop dirigida a las soluciones de transferencia de archivos, lo que genera importantes preocupaciones entre las empresas que utilizan estas plataformas.
Cleo ha guardado silencio sobre el alcance del impacto y no está claro cuántas organizaciones se han visto afectadas por las recientes filtraciones. Los informes indican que Clop se está centrando en nuevos esfuerzos de extorsión relacionados con los recientes ataques de Cleo, declarando su intención de eliminar datos asociados con víctimas anteriores. Un mensaje del sitio de extorsión de Clop decía que los enlaces a datos de víctimas anteriores se desactivarían, con énfasis en tratar sólo con nuevas empresas objetivo de los exploits de Cleo.
El Departamento de Estado de Estados Unidos está persiguiendo a Clop, vinculándolos con actores estatales extranjeros y ha emitido una recompensa de 10 millones de dólares por información que conduzca a su captura.
“En cuanto a CLEO, fue nuestro proyecto (incluido el anterior Cleo) el que se completó con éxito. Toda la información que almacenamos, al trabajar con ella, observamos todas las medidas de seguridad. Si los datos son servicios gubernamentales, instituciones, medicina, entonces los eliminaremos inmediatamente sin dudarlo (permítanme recordarles la última vez que fue con moveit: todos los datos gubernamentales, medicinas, clínicas, datos de investigación científica en el estado). nivel fueron eliminados), cumplimos con nuestras regulaciones. con amor © CL0P^_”, dijo Clop pitidocomputadora.
Crédito de la imagen destacada: Wesley Ford/Unsplash
