ClopランサムウェアがCleoデータ盗難攻撃の責任を主張

Clop ランサムウェア集団は、最近の Cleo データ盗難攻撃の背後にいることを確認しました。

クレオは、マネージドファイル転送プラットフォーム「Cleo Harmony」、「VLTrader」、「LexiCom」の開発元で、企業がビジネスパートナーや顧客との間で安全にファイルを交換するために利用しています。

クレオは10月、CVE-2024-50623として追跡されている脆弱性を修正した。この脆弱性は、無制限のファイルアップロードとダウンロードを可能にし、リモートでのコード実行につながるものだった。

しかし、サイバーセキュリティ企業のハントレスは先週、当初のパッチが不完全であり、脅威行為者がデータ窃盗攻撃を行うためにバイパスを積極的に悪用していることを発見した。

この脆弱性を悪用しながら、脅威者はJAVAバックドアをアップロードし、攻撃者がデータを盗み、コマンドを実行し、侵害されたネットワークにさらにアクセスできるようにしていた。

金曜日にCISAは、Cleo Harmony、VLTrader、およびLexiComファイル転送ソフトウェアの重大なセキュリティ脆弱性CVE-2024-50623がランサムウェア攻撃に悪用されていることを確認した。しかし、クレオは10月に修正しようとした当初の欠陥が悪用されたことを公表していない。

Cleoのデータ盗難攻撃についてClopが責任を主張

以前は、Cleoの攻撃はTermiteと名付けられた新しいランサムウェア集団によって行われたと考えられていた。しかし、Cleoのデータ盗難攻撃は、Clopランサムウェア・ギャングが以前に行った攻撃と、より密接に追跡することができた。

火曜日にClopに連絡した後、ランサムウェアギャングは、10月に修正されたオリジナルのCVE-2024-50623の欠陥の悪用と同様に、Huntressによって検出されたCleoの脆弱性の最近の悪用の背後にいることを確認した。

恐喝組織は現在、データ漏洩サーバーから過去の攻撃に関連するデータを削除し、Cleo攻撃で侵害された新しい企業とのみ取引を行うと発表している。

「親愛なる企業の皆様、最近の出来事（クレオの攻撃）により、すべての企業のデータへのリンクは無効になり、データはサーバーから永久に削除されます。私たちは新しい企業とのみ取引を行います」と、CL0P^_- LEAKSの恐喝サイトの新しいメッセージに書かれています。

「新年明けましておめでとうございます。

クレオに、攻撃がいつ始まったのか、どれだけの企業が影響を受けたのか、クレオがランサムウェア集団「Termite」と関係があるのかどうかを尋ねたが、これらの質問に対する回答は得られなかった。

また、Clopが脆弱性の悪用の背後にいるかどうかを確認するため、金曜日にCleoに問い合わせたが、回答は得られなかった。

ファイル転送プラットフォームの悪用に特化

TA505およびCl0pの別名で知られるClopランサムウェアギャングは、CryptoMixランサムウェアの亜種を使用して最初に企業をターゲットにし始めた2019年3月に発足した。

他のランサムウェア・ギャングと同様に、Clopは企業ネットワークに侵入し、データや文書を盗み出しながら、そのシステムを通じてゆっくりと横方向に広がっていった。価値のあるものをすべて収穫すると、ネットワーク上にランサムウェアを展開し、デバイスを暗号化した。

しかし、2020年以降、このランサムウェア集団は、セキュアなファイル転送プラットフォームの未知の脆弱性を標的としたデータ窃盗攻撃に特化している。

2020年12月、ClopはAccellion FTAセキュアファイル転送プラットフォームのゼロデイを悪用し、約100の組織に影響を与えました。

さらに2021年には、SolarWinds Serv-UFTPソフトウェアのゼロデイを悪用してデータを窃取し、ネットワークに侵入しました。

2023年、ClopはGoAnywhere MFTプラットフォームのゼロデイを悪用し、ランサムウェア一味は再び100社以上からデータを盗み出しました。

しかし、Emsisoftの報告によると、この種の攻撃で最も重要なのは、MOVEit Transferプラットフォームのゼロデイを利用したもので、これにより2,773の組織からデータを盗むことができたという。

現時点では、Cleoのデータ窃盗攻撃の影響を受けた企業の数は不明であり、このプラットフォームを通じて侵入されたことを確認した企業も把握していない。

米国務省の司法のための報奨プログラムは現在、Clopランサムウェア攻撃と外国政府を結びつける情報に対して1,000万ドルの報奨金を出している。