La banda de ransomware Clop se ha atribuido la responsabilidad de violar datos de al menos 66 empresas, explotando una vulnerabilidad en las herramientas de transferencia de archivos de Cleo Software. Este incidente, reportado el 25 de diciembre de 2024, destaca la campaña en curso de la pandilla dirigida a sistemas corporativos vulnerables. Clop anunció que las víctimas tienen 48 horas para cumplir con sus demandas de rescate, de lo contrario darán a conocer los nombres completos de las empresas afectadas.
La banda de ransomware Clop explota el software Cleo y afecta a 66 empresas
La infracción se centra en una vulnerabilidad de día cero conocida como CVE-2024-50623afectando a Cleo LexiComVLTransfer y productos Harmony. Esta falla permite cargas y descargas remotas de archivos, lo que lleva a una posible ejecución remota de código. Cleo confirmó que su software es utilizado por más de 4.000 organizaciones en todo el mundo, lo que sugiere que un grupo más grande de empresas podría estar en riesgo. Los ataques anteriores de Clop incluyeron exploits similares dirigidos a las plataformas Accellion, GoAnywhere y MOVEit.
Las acciones recientes de Clop marcan una escalada significativa, ya que se han puesto en contacto directamente con las víctimas, proporcionando canales seguros para las negociaciones de rescate. La pandilla publicó nombres parciales de las empresas afectadas en su sitio web oscuro, alegando que la lista actual solo refleja a aquellas que no se han comprometido con ellas. Esto alude además a la posibilidad de que el número de empresas comprometidas sea mayor de lo informado.
Cleo advirtió a sus clientes sobre la explotación activa de la vulnerabilidad CVE-2024-50623 y lanzó parches para su software. Sin embargo, los investigadores de ciberseguridad han expresado su preocupación de que estas correcciones puedan ser susceptibles de eludirse. Huntress reveló esta vulnerabilidad a principios de este mes, alertando a los usuarios sobre los esfuerzos de explotación en curso por parte de los piratas informáticos. Las posibles implicaciones de esta vulnerabilidad se ven agravadas por la confirmación de Clop de explotar la falla para facilitar sus últimas operaciones de robo de datos.
Starbucks restaura los sistemas después del ataque del ransomware Blue Yonder
Yutaka Sejiyama de Macnica dijo Computadora que suena que incluso con nombres incompletos de empresas, la referencia cruzada con datos disponibles públicamente en los servidores de Cleo podría revelar algunas de las víctimas. A medida que se desarrolla la situación, sigue existiendo incertidumbre sobre cuántas organizaciones podrían finalmente ser víctimas de este ataque y qué medidas se tomarán para abordar estas vulnerabilidades.
Clop tiene un notorio historial de aprovechamiento de vulnerabilidades de día cero para infiltrarse en redes corporativas, como lo demuestran sus ataques anteriores relacionados con otras plataformas populares de transferencia de archivos. Los datos robados de estos incidentes a menudo sirven como palanca para el pago de rescates, ya que las empresas se esfuerzan por evitar la exposición pública de información confidencial. En este último ataque, Clop declaró explícitamente la urgencia de que las empresas respondan a sus demandas, subrayando su intención de revelar los nombres completos de las víctimas que no participan.
Las estrategias empleadas por la pandilla Clop reflejan una comprensión sofisticada de los protocolos de ciberseguridad corporativa, a menudo apuntando a soluciones de software críticas que facilitan grandes transferencias de datos.
Crédito de la imagen destacada: Kerem Gülen/A mitad del viaje
