Le gang de ransomwares Clop a commencé à extorquer des victimes de ses attaques de vol de données Cleo et a annoncé sur son portail dark Web que 66 entreprises disposaient de 48 heures pour répondre aux demandes.
Les cybercriminels ont annoncé qu’ils contactaient directement ces entreprises pour fournir des liens vers un canal de discussion sécurisé pour mener des négociations de paiement de rançon. Ils ont également fourni des adresses électroniques où les victimes peuvent se contacter elles-mêmes.
Dans la notification sur leur site de fuite, Clop répertorie 66 noms partiels d’entreprises qui n’ont pas engagé les pirates pour des négociations. Si ces entreprises continuent à ignorer, Clop menace de divulguer leur nom complet dans les 48 heures.
Les pirates notent que la liste ne représente que les victimes qui ont été contactées mais qui n’ont pas répondu au message, ce qui suggère que la liste des entreprises touchées pourrait être plus longue.
Clop réalise une autre brèche majeure
L’attaque de vol de données Cleo représente un autre succès majeur pour Clop, qui a exploité une vulnérabilité zero-day dans les produits Cleo LexiCom, VLTransfer et Harmony pour voler des données sur les réseaux des entreprises piratées.
Dans le passé, le ransomware Clop accédait aux réseaux d’entreprise en exploitant les vulnérabilités zero-day de la plate-forme de transfert de fichiers sécurisé Accellion FTA, de la plate-forme GoAnywhere MFT et de la plate-forme MOVEit Transfer.
Le gang est également responsable d’une autre frénésie de piratage ciblant les entreprises exécutant le logiciel FTP SolarWinds Serv-U.
La faille zero-day exploitée cette fois est désormais suivie sous le numéro CVE-2024-50623 et permet à un attaquant distant d’effectuer des téléchargements et téléchargements de fichiers illimités, conduisant à l’exécution de code à distance.
Un correctif est disponible pour Cleo Harmony, VLTrader et LexiCom version 5.8.0.21 et le fournisseur a averti dans un avis privé que des pirates l’exploitaient pour ouvrir des coques inversées sur des réseaux compromis.
Plus tôt ce mois-ci, Huntress a révélé publiquement que la vulnérabilité était activement exploitée et a sonné l’alarme que le correctif du fournisseur pouvait être contourné. Les chercheurs ont également fourni un exploit de validation de principe (PoC) pour démontrer leurs résultats.
Quelques jours plus tard, Clop ransomware a confirmé à Breachtrace qu’il était responsable de l’exploitation de CVE-2024-50623.
Le tristement célèbre groupe de ransomwares a déclaré que les données des attaques précédentes seraient désormais supprimées de sa plate-forme car il se concentre sur le nouveau cycle d’extorsion.
Dans un courriel adressé à Breachtrace , le chercheur de Macnica, Yutaka Sejiyama, a déclaré que même avec les noms d’entreprises incomplets publiés par Clop sur son site de fuite de données, il est possible d’identifier certaines des victimes en vérifiant simplement les indices du pirate informatique avec les propriétaires de serveurs Cleo exposés sur le Web public.
À l’heure actuelle, on ignore combien d’entreprises ont été compromises par la dernière vague d’attaques de Clop, mais Cleo affirme que son logiciel est utilisé par plus de 4 000 organisations dans le monde.