2 min Security

Clop-ransomwarebende eist Cleo-aanvallen op

Clop-ransomwarebende eist Cleo-aanvallen op

De beruchte Clop-ransomwarebende heeft zichzelf verantwoordelijk verklaard voor de recente aanvallen op de file transfer-software van Cleo. Via zero day-kwetsbaarheden in deze software konden de hackers data stelen bij meerdere zakelijke eindgebruikers.

Dat vertelt de groep in een verklaring tegenover Bleeping Computer. Het ging hierbij om kwetsbaarheden in de door Cleo beheerde file transfer-platformen Cleo Harmony, VLTRader en LexiCom. Deze platformen gebruiken zakelijke eindgebruikers voor het veilig versturen van data met hun eigen data.

Aanvalspad

Cleo had eerder dit jaar in oktober een patch uitgebracht die een einde maakte aan een kwetsbaarheid, CVE-2024-50623, die ongelimiteerde file uploads en – downloads mogelijk maakte en uiteindelijk tot een RCE-aanval kon leiden.

De originele patch was echter incompleet, zo ontdekte securitybedrijf Huntress recent. Dit stelde de hackers in staat een bypass te misbruiken om datadiefstal mogelijk te maken. Door deze bypass konden zij een JAVA-backdoor uploaden die hen toestond data te stelen, commando’s uit te voeren en verdere toegang te krijgen tot het aangevallen bedrijfsnetwerk.

Beruchte MOVEit-aanval

In de reactie geven de hackers van Clop aan inderdaad achter de hacks te zitten. Daarnaast geven zij aan alleen voor gestolen data van nieuwe slachtoffers te willen afpersen. Die van eerdere slachtoffers zou worden verwijderd, net als gegevens die afkomstig zijn van overheidsinstanties en de gezondheidszorg.

Clop richt zich vaker op file transfer-software. Onder meer wordt het verantwoordelijk geacht voor de zeer beruchte aanval op het MOVEit Transfer-platform. Hierbij zou data van ongeveer 2.773 bedrijven en organisaties zijn buitgemaakt.

Premie van 10 miljoen dollar

Inmiddels is nieuwe kwetsbaarheid in de Cleo file transfer-software en de patch CVE-2024-50623 bevestigd door de Amerikaanse cybertoezichthouder CISA. Cleo heeft de kwetsbaarheid nog niet bevestigd.

De Amerikaanse overheid heeft een sterk vermoeden dat de Clop-ransomwarebende connecties heeft met buitenlandse statelijke actoren. Om hiervoor een bewijs te krijgen, heeft de VS daarom een premie van 10 miljoen dollar vastgesteld.

Lees ook: MOVEit-aanval geclaimd door Clop-ransomwarebende