El grupo de ransomware Clop ha confirmado a BleepingComputer que está detrás de los recientes ataques de robo de datos de Cleo, utilizando exploits de día cero para violar redes corporativas y robar datos.
Cleo es el desarrollador de las plataformas de transferencia de archivos administradas Cleo Harmony, VLTrader y LexiCom, que las empresas utilizan para intercambiar archivos de forma segura entre sus socios comerciales y clientes.
En octubre, Cleo solucionó una vulnerabilidad identificada como CVE-2024-50623 lo que permitió cargas y descargas de archivos sin restricciones, lo que llevó a la ejecución remota de código.
Sin embargo, la empresa de ciberseguridad Huntress descubrió la semana pasada que el parche original estaba incompleto y que actores maliciosos estaban explotando activamente una solución alternativa para llevar a cabo ataques de robo de datos.
Mientras explotaban esta vulnerabilidad, los actores de amenazas descargaron una puerta trasera JAVA que permitía a los atacantes robar datos, ejecutar comandos y obtener más acceso a la red comprometida.
El viernes, CISA confirmó que la vulnerabilidad crítica de seguridad CVE-2024-50623 en el software de transferencia de archivos Cleo Harmony, VLTrader y LexiCom fue explotada en ataques de ransomware. Sin embargo, Cleo nunca reveló públicamente que se había aprovechado el fallo inicial que intentaron solucionar en octubre.
Clop se atribuye la responsabilidad de los ataques de robo de datos de Cleo
Anteriormente se pensaba que los ataques de Cleo los llevaba a cabo una nueva banda de ransomware llamada Termite. Sin embargo, los ataques de robo de datos de Cleo siguen más de cerca a ataques anteriores llevados a cabo por la banda de ransomware Clop.
Después de contactar a Clop el martes, el grupo de ransomware confirmó a BleepingComputer que estaba detrás de la reciente explotación de la vulnerabilidad Cleo detectada por Huntress, así como de la explotación del CVE-2024-50623 original parcheado en octubre.
“En cuanto a CLEO, es nuestro proyecto (incluido el anterior Cleo) que se ha completado con éxito.
Toda la información que almacenamos, al trabajar con ella, cumplimos con todas las medidas de seguridad. Si los datos se relacionan con servicios gubernamentales, instituciones, medicamentos, los eliminaremos inmediatamente sin dudarlo (permítanme recordarles la última vez que fue con moveit: todos los datos gubernamentales, médicos, clínicos y de investigación científica a nivel estatal tienen suprimido), respetamos nuestras normas.
con amor ©CL0P^_”
❖ Clop le dijo a BleepingComputer
La banda de extorsión ha anunciado ahora que está eliminando datos asociados con ataques pasados de su servidor de fuga de datos y que sólo trabajará con nuevas empresas que sean víctimas de los ataques de Cleo.
“Estimadas empresas: Debido a los acontecimientos recientes (ataque CLEO), todos los enlaces a los datos de todas las empresas se desactivarán y los datos se eliminarán permanentemente de los servidores. Sólo trabajaremos con nuevas empresas”, se lee en una nueva publicación en El CL0P^ de la pandilla. _- FUGAS sitio de extorsión.
“Feliz año nuevo © CL0P^_ a todas las víctimas de su sitio de fuga de datos”.
Fuente: BleepingComputer
BleepingComputer le preguntó a Clop cuándo comenzaron los ataques, cuántas empresas se vieron afectadas y si Clop estaba afiliado a la banda de ransomware Termite, pero no recibió respuesta a estas preguntas.
BleepingComputer también se puso en contacto con Cleo el viernes para confirmar si Clop estaba detrás de la explotación de las vulnerabilidades, pero no recibió respuesta.
Especializados en operar plataformas de transferencia de archivos.
El grupo de ransomware Clop, también conocido como TA505 y Cl0p, se lanzó en marzo de 2019, cuando comenzó a apuntar a la empresa utilizando una variante del ransomware CryptoMix.
Al igual que otras bandas de ransomware, Clop pirateó redes corporativas y lentamente se propagó lateralmente a través de sus sistemas mientras robaba datos y documentos. Cuando recuperaron algo de valor, implementaron ransomware en la red para cifrar sus dispositivos.
Sin embargo, desde 2020, la banda de ransomware se ha especializado en atacar vulnerabilidades previamente desconocidas en plataformas seguras de transferencia de archivos para ataques de robo de datos.
En diciembre de 2020, Clop aprovechó un día cero en la plataforma de transferencia segura de archivos Accellion FTA, que afectó a casi un centenar de organizaciones.
Luego, en 2021, el grupo de ransomware aprovechó el software FTP SolarWinds Serv-U para robar datos y violar redes.
En 2023, Clop aprovechó un día cero en la plataforma GoAnywhere MFT, lo que permitió al grupo de ransomware volver a robar datos de más de 100 empresas.
Sin embargo, su mayor ataque de este tipo fue el uso de un día cero en la plataforma MOVEit Transfer, que les permitió robar datos de 2.773 organizaciones, según un informe. Informe Emsisoft.
En este momento, no está claro cuántas empresas se han visto afectadas por los ataques de robo de datos de Cleo, y BleepingComputer no tiene conocimiento de ninguna empresa que haya confirmado haber sido violada a través de la plataforma.
El programa de Recompensas por la Justicia del Departamento de Estado de EE. UU. ofrece actualmente una recompensa de 10 millones de dólares por información que vincule los ataques de ransomware Clop con un gobierno extranjero.