Clop fidye yazılımı çetesi, BleepingComputer'a, son CLEO veri hırsızlığı saldırılarının arkasında olduklarını, kurumsal ağları ihlal etmek ve veri çalmak için sıfır gün istismarlarını kullandıklarını doğruladı.
Cleo, şirketlerin iş ortakları ve müşterileri arasında güvenli bir şekilde dosya alışverişi yapmak için kullandıkları Cleo Harmony, Vltrader ve Lexicom'un yönetilen dosya aktarım platformlarının geliştiricisidir.
Ekim ayında Cleo, sınırsız dosya yüklemelerine ve indirmelere izin veren ve uzaktan kod yürütülmesine yol açan CVE-2024-50623 olarak izlenen bir güvenlik açığı düzeltildi.
Bununla birlikte, siber güvenlik firması Huntress geçen hafta orijinal yamanın eksik olduğunu ve tehdit aktörlerinin veri hırsızlığı saldırıları yapmak için aktif olarak bir bypass'tan yararlandığını keşfetti.
Bu güvenlik açığından yararlanırken, tehdit aktörleri saldırganların veri çalmasına, komutları yürütmesine ve tehlikeye atılan ağa daha fazla erişim kazanmasına izin veren bir Java arka kapı yüklüyorlardı.
CISA Cuma günü, CLEO Harmony, Vltrader ve Lexicom dosya transfer yazılımındaki kritik CVE-2024-50623 güvenlik açığının fidye yazılımı saldırılarında kullanıldığını doğruladı. Ancak Cleo, Ekim ayında düzeltmeye çalıştıkları orijinal kusurun kullanıldığını hiç açıklamadı.
Daha önce CLEO saldırılarının Termite adlı yeni bir fidye yazılımı çetesi tarafından yapıldığı düşünülmüştü. Bununla birlikte, CLEO veri hırsızlığı saldırıları, Clop Fidye yazılımı çetesi tarafından yapılan önceki saldırılara daha yakın izlendi.
Salı günü Clop ile temasa geçtikten sonra, fidye yazılımı BleepingComputer'a, Huntress tarafından tespit edilen Cleo güvenlik açığının son kullanımı ve Orijinal CVE-2024-50623 kusurunun Ekim ayında sabitlenmesinin arkasında olduklarını doğruladı.
"Cleo'ya gelince, başarıyla tamamlanan projemiz (önceki Cleo dahil).
Sakladığımız tüm bilgiler, onunla çalışırken tüm güvenlik önlemlerini gözlemliyoruz. Veriler devlet hizmetleri, kurumlar, tıp, o zaman bu verileri tereddüt etmeden derhal sileriz (Moveit ile son kez hatırlatayım - tüm hükümet verileri, tıp, klinikler, eyaletteki bilimsel araştırma verileri Seviye silindi), düzenlemelerimize uyuyoruz.
Aşk ile © Cl0p^_ "
Gasar çetesi, veri sızıntı sunucusundan geçmiş saldırılarla ilişkili verileri sildiklerini ve yalnızca Cleo saldırılarında ihlal edilen yeni şirketlerle çalışacaklarını açıkladı.
"Sevgili şirketler, son olaylar nedeniyle (CLEO'nun saldırısı) tüm şirketlerin verilerine tüm bağlantılar devre dışı bırakılacak ve veriler sunuculardan kalıcı olarak silinecek. Yalnızca yeni şirketlerle çalışacağız." _- Yataklar Yetki Sitesi.
"Mutlu Yıllar © Cl0p^_ Tüm kurbanları veri sızıntı sitelerinden."
BleepingComputer, Clop'a saldırıların ne zaman başladığını, kaç şirketin etkilendiğini ve Clop'un termit fidye yazılımı çetesine bağlı olup olmadığını sordu, ancak bu sorulara bir yanıt almadı.
BleepingComputer, Clop'un güvenlik açıklarının sömürülmesinin arkasında olup olmadığını doğrulamak için Cuma günü CLEO ile temasa geçti, ancak yanıt almadı.
Clop fidye yazılımı, yani TA505 ve CL0P, Mart 2019'da piyasaya sürüldü ve Cryptomix fidye yazılımının bir çeşidini kullanarak işletmeyi ilk kez hedeflemeye başladı.
Diğer fidye yazılımı çeteleri gibi, Clop da kurumsal ağları ihlal etti ve veri ve belgeleri çalırken sistemlerine yavaş yavaş yayıldı. Değerli her şeyi hasat ettiklerinde, cihazlarını şifrelemek için ağa fidye yazılımı dağıttılar.
Bununla birlikte, 2020'den bu yana, fidye yazılımı çetesi, veri hırsızlığı saldırıları için güvenli dosya aktarım platformlarında daha önce bilinmeyen güvenlik açıklarını hedefleme konusunda uzmanlaşmıştır.
Aralık 2020'de Clop, yaklaşık yüz organizasyonu etkileyen Acccellion FTA güvenli dosya aktarım platformunda sıfır gün kullandı.
Daha sonra 2021'de fidye yazılımı çetesi, veri çalmak ve ağları ihlal etmek için Solarwinds Serv-U FTP yazılımında sıfır gün kullandı.
2023'te Clop, Goanywhere MFT platformunda bir sıfır gün sömürdü ve fidye yazılımı çetesinin 100'den fazla şirketten tekrar veri çalmasına izin verdi.
Bununla birlikte, Emsisoft'un bir raporuna göre, bu türden en önemli saldırıları, MoveIT transfer platformunda 2.773 kuruluştan veri çalmalarını sağlayan bir sıfır gün kullanmaktı.
Şu anda, kaç şirketin CLEO veri hırsızlığı saldırılarından etkilendiği açık değil ve BleepingComputer, platform aracılığıyla ihlal edildiğini onaylayan hiçbir şirketi bilmiyor.
ABD Dışişleri Bakanlığı'nın Adalet için Ödülleri Programı, klop fidye yazılımı saldırılarını yabancı bir hükümete bağlayan bilgiler için 10 milyon dolarlık bir ödüle sahiptir.
CISA, Fidye Yazılımı Saldırılarında Kritik Cleo Böcek Sömürüsünü onaylıyor
Cleo Yamaları Kritik sıfır gün veri hırsızlığı saldırılarında sömürüldü
Cisa, Bianlian Fidye Yazılımının artık sadece veri hırsızlığına odaklandığını söylüyor
ABD, 3 kurbandan 2,5 milyon dolar zorlayan kar tanesi bilgisayar korsanlarını gösteriyor
Interlock ile tanışın - FreeBSD sunucularını hedefleyen yeni fidye yazılımı
Kaynak: Bleeping Computer