Le gang de ransomwares Clop (également connu sous le nom de Cl0p) cible les serveurs de fichiers Gladinet CentreStack exposés à Internet dans le cadre d’une nouvelle campagne d’extorsion de vol de données.
Gladinet CentreStack permet aux entreprises de partager en toute sécurité des fichiers hébergés sur des serveurs de fichiers locaux via des navigateurs Web, des applications mobiles et des lecteurs mappés sans nécessiter de VPN. Selon Gladinet, CentreStack « est utilisé par des milliers d’entreprises de plus de 49 pays. »
Depuis avril, Gladinet a publié des mises à jour de sécurité pour corriger plusieurs autres failles de sécurité qui ont été exploitées dans des attaques, certaines d’entre elles en tant que zero-days.
Le gang de cybercriminalité Clop recherche et viole maintenant les serveurs CentreStack exposés en ligne, des informations organisées indiquant à Breachtrace que des notes de rançon sont laissées sur des serveurs compromis.
Cependant, il n’y a actuellement aucune information sur la vulnérabilité que Clop exploite pour pirater les serveurs CentreStack. On ne sait pas s’il s’agit d’une faille zero-day ou d’un bogue précédemment résolu que les propriétaires des systèmes piratés n’ont pas encore corrigé.
« Les intervenants en cas d’incident de la communauté du renseignement organisée ont été confrontés à une nouvelle campagne d’extorsion de fonds ciblant les serveurs de fichiers CentreStack orientés Internet », a averti jeudi le groupe de menaces intel Curated Intelligence.
« D’après les données récentes d’analyse des ports, il semble y avoir au moins plus de 200 adresses IP uniques exécutant le titre HTTP « CentreStack – Login », ce qui en fait des cibles potentielles de CLOP qui exploite un CVE inconnu (jour n ou jour zéro) dans ces systèmes. »
Attaques de vol de données de Clop
Clop a une longue histoire de ciblage des produits de transfert de fichiers sécurisés. Dans le passé, le gang d’extorsion a été à l’origine d’autres campagnes de vol de données ciblant les serveurs de partage de fichiers Accellion FTA, GoAnywhere MFT, Cleo et MOVEit Transfer, ce dernier ayant touché plus de 2 770 organisations dans le monde.
Plus récemment, il a exploité une faille Oracle EBS zero-day (CVE-2025-61882) pour voler des fichiers sensibles à de nombreuses organisations depuis début août 2025.
La liste des clients Oracle concernés comprend l’Université Harvard, le Washington Post, GlobalLogic, l’Université de Pennsylvanie, Logitech et la filiale d’American Airlines Envoy Air.
Après avoir violé leurs systèmes et exfiltré des documents sensibles, Clop a publié les données volées sur son site de fuite dark Web et les a mises à disposition pour téléchargement via Torrent.
Le département d’État américain offre une récompense de 10 millions de dollars pour toute information qui pourrait relier les attaques de ce gang de cybercriminels à un gouvernement étranger.
Un porte-parole de Gladinet n’était pas immédiatement disponible pour commenter lorsqu’il a été contacté par Breachtrace plus tôt dans la journée