- Cl0p confirmó que Cleo estaba siendo utilizada indebidamente para atacar organizaciones
- El grupo dijo que elimina todos los datos gubernamentales y sanitarios.
- El mismo actor de amenazas estuvo detrás del ciberataque MOVEit
cl0p ransomwareel grupo de hackers responsable del infame fiasco de filtración de datos de MOVEit, ahora ha afirmado que también estuvo detrás de los recientes ataques de Cleo.
Los investigadores de seguridad de Huntress revelaron recientemente Tres productos Cleo Managed File Transfer (MFT) Tenían una vulnerabilidad en la carga y descarga de archivos sin restricciones que podría conducir a la ejecución remota de código (RCE).
El error fue rastreado como CVE-2024-50623 y se encontró en LexiCom, VLTransfer y Harmony. Cleo lanzó un parche en octubre de 2024, pero fue claramente ineficaz.
Ataque de “proyecto”
Huntress también dijo que había observado al menos dos docenas de organizaciones comprometidas donde la falla estaba siendo explotada activamente:
“Las organizaciones afectadas hasta ahora incluyen numerosas empresas de productos de consumo, organizaciones de logística y envío, y proveedores de alimentos”, dijo Huntress en su informe, y agregó que muchas otras empresas están en riesgo.
Poco después del anuncio de Huntress, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregó la vulnerabilidad a su Catálogo de vulnerabilidades conocidas (KEV), confirmando los hallazgos y dando a las agencias federales tres semanas para parchear las herramientas o dejar de usarlas por completo.
Inicialmente, el ataque no fue atribuido a ningún grupo específico, porque las pruebas no eran concluyentes. Sin embargo, durante el fin de semana, pitidocomputadora Me comuniqué con Cl0p, quien confirmó que estaban detrás de los ataques:
“En cuanto a CLEO, fue nuestro proyecto (incluido el anterior cleo) el que se completó con éxito”, dijo el grupo a la publicación. “Toda la información que almacenamos, a la hora de trabajar con ella, tenemos en cuenta todas las medidas de seguridad. Si los datos son servicios gubernamentales, instituciones, medicina, los eliminaremos inmediatamente sin dudarlo (permítanme recordarles la última vez que fue con moveit: todos los datos gubernamentales, medicinas, clínicas y datos de investigación científica en el país fueron eliminados). , cumplimos con nuestras regulaciones”.
Claramente, Cl0p no quiere manejar datos gubernamentales o de atención médica, porque eso enojaría a las fuerzas del orden, la mayoría de ellas. ransomware Los actores que accedieron a datos gubernamentales o de atención médica terminaron siendo desmantelados, o al menos gravemente perturbados.