En los últimos días, se detectó que el grupo de ransomware Clop, ha incrementado sus tácticas de extorsión tras un ataque masivo de robo de datos a Cleo. En su portal de la dark web, el grupo anunció que 66 empresas tienen 48 horas para responder a sus demandas, advirtiendo que, de no hacerlo, revelarán públicamente sus datos completos.

Fuente: BleepingComputer

Los atacantes, confirmaron que se contactarán directamente con las empresas afectadas, proporcionando enlaces a un canal seguro para negociar el pago del rescate. Además, ofrecieron direcciones de correo electrónico para que las víctimas puedan iniciar el contacto de forma independiente. En una clara actitud de beligerancia, el grupo enumeró parcialmente los nombres de las empresas que no han respondido, sugiriendo que la lista completa de víctimas podría ser aún mayor.

Clop logra otra importante brecha

El ataque, explotó una vulnerabilidad de día cero (CVE-2024-50623) en productos de Cleo como LexiCom, VLTransfer y Harmony para infiltrarse en las redes de las empresas y robar sus datos. Esta brecha, permitió a los atacantes realizar cargas y descargas de archivos sin restricciones, lo que facilita la ejecución remota de código. No es la primera vez que Clop utiliza esta estrategia, anteriormente, explotaron vulnerabilidades similares en plataformas como Accellion FTA, GoAnywhere MFT, MOVEit Transfer y el software FTP SolarWinds Serv-U.

A raíz de este incidente, Cleo lanzó una actualización para las versiones 5.8.0.21 de sus productos Harmony, VLTrader y LexiCom para abordar la vulnerabilidad. Sin embargo, investigadores de Huntress revelaron que esta solución podría ser burlada, incluso publicando una prueba de concepto (PoC) para demostrarlo. Mientras tanto, Clop confirmó que está detrás de la explotación de esta vulnerabilidad.

Aunque se desconoce el alcance total de los ataques, Cleo asegura que su software es utilizado por más de 4.000 organizaciones en todo el mundo. Según el investigador Yutaka Sejiyama, es posible identificar algunas víctimas comparando las pistas publicadas por Clop con servidores Cleo expuestos en la web pública.

Este incidente, denota la necesidad de que las organizaciones refuercen sus defensas frente a vulnerabilidades de día cero y desarrollen planes de respuesta ante ataques de ransomware. La presión sobre las empresas afectadas continuará en las próximas horas, mientras Clop sigue adelante con sus amenazas de exposición.

Fuente

https://www.bleepingcomputer.com/news/security/clop-ransomware-is-now-extorting-66-cleo-data-theft-victims/