Le gang de ransomwares Clop a confirmé à Breachtrace qu’il était à l’origine des récentes attaques de vol de données Cleo, utilisant des exploits zero-day pour violer les réseaux d’entreprise et voler des données.
Cleo est le développeur des plateformes de transfert de fichiers gérés Cleo Harmony, VLTrader et LexiCom, que les entreprises utilisent pour échanger des fichiers en toute sécurité entre leurs partenaires commerciaux et leurs clients.
En octobre, Cleo a corrigé une vulnérabilité identifiée comme CVE-2024-50623 qui permettait des téléchargements et des téléchargements de fichiers sans restriction, conduisant à l’exécution de code à distance.
Cependant, la société de cybersécurité Huntress a découvert la semaine dernière que le correctif d’origine était incomplet et que les auteurs de menaces exploitaient activement un contournement de ce correctif, désormais suivi sous le nom de CVE-2024-55956, pour mener des attaques de vol de données.
Tout en exploitant cette vulnérabilité, les auteurs de la menace téléchargeaient une porte dérobée JAVA qui permettait aux attaquants de voler des données, d’exécuter des commandes et d’accéder davantage au réseau compromis.
Vendredi, CISA a confirmé que la vulnérabilité de sécurité critique CVE-2024-50623 dans les logiciels de transfert de fichiers Cleo Harmony, VLTrader et LexiCom avait été exploitée dans des attaques de ransomware. Cependant, Cleo n’a jamais révélé publiquement que la faille initiale qu’ils avaient tenté de corriger en octobre avait été exploitée.
Clop revendique la responsabilité des attaques de vol de données Cleo
On pensait auparavant que les attaques Cleo étaient menées par un nouveau gang de ransomwares nommé Termite. Cependant, les attaques de vol de données Cleo ont suivi de plus près les attaques précédentes menées par le gang de ransomwares Clop.
Après avoir contacté Clop mardi, le gang de ransomwares a confirmé à Breachtrace qu’il était à l’origine de la récente exploitation de la vulnérabilité Cleo CVE-2024-55956 détectée par Huntress ainsi que de l’exploitation de la faille originale CVE-2024-50623 corrigée en octobre.
« Quant à CLEO, c’était notre projet (y compris le précédent cleo) – qui a été mené à bien.
Toutes les informations que nous stockons, lorsque nous travaillons avec elles, nous observons toutes les mesures de sécurité. Si les données sont des services gouvernementaux, des institutions, des médicaments, nous supprimerons immédiatement ces données sans hésitation (permettez – moi de vous rappeler la dernière fois que c’était avec moveit – toutes les données gouvernementales, les médicaments, les cliniques, les données de la recherche scientifique au niveau de l’État ont été supprimés), nous respectons nos réglementations.
avec amour © CL0P^_ »
❖ Clop a dit à breachtrace
Le gang d’extorsion a maintenant annoncé qu’il supprimait les données associées aux attaques passées de son serveur de fuites de données et qu’il ne travaillerait qu’avec les nouvelles entreprises victimes des attaques Cleo.
« Chères entreprises, En raison d’événements récents (attaque de CLEO), tous les liens vers les données de toutes les entreprises seront désactivés et les données seront définitivement supprimées des serveurs. Nous ne travaillerons qu’avec de nouvelles entreprises », lit – on dans un nouveau message sur le site d’extorsion CL0P^_ – LEAKS du gang.
« Bonne année © CL0P^_ toutes les victimes de leur site de fuite de données. »
Lorsqu’on lui a demandé combien d’entreprises avaient été touchées, Clop a déclaré à Breachtrace après la publication de cette histoire qu’ils ne pouvaient pas le dire avec certitude, mais « beaucoup ».
Breachtrace a demandé à Clop quand les attaques avaient commencé et si Clop était affilié au gang de ransomwares Termite, mais n’a pas reçu de réponse à ces questions.
Breachtrace a également contacté Cleo vendredi pour confirmer si Clop était à l’origine de l’exploitation des vulnérabilités, mais n’a pas reçu de réponse.
Spécialisé dans les plateformes de transfert de fichiers exploitables
Le gang de ransomwares Clop, alias TA505 et Cl0p, a été lancé en mars 2019, lorsqu’il a commencé à cibler l’entreprise à l’aide d’une variante du ransomware CryptoMix.
Comme d’autres gangs de ransomwares, Clop a violé les réseaux d’entreprise et s’est lentement propagé latéralement à travers ses systèmes tout en volant des données et des documents. Lorsqu’ils ont récolté tout ce qui a de la valeur, ils ont déployé un ransomware sur le réseau pour crypter ses appareils.
Cependant, depuis 2020, le gang de ransomwares s’est spécialisé dans le ciblage des vulnérabilités jusque-là inconnues des plates-formes de transfert de fichiers sécurisées pour les attaques de vol de données.
En décembre 2020, Clop a exploité un jour zéro dans la plateforme de transfert de fichiers sécurisé Accellion FTA, qui a touché près d’une centaine d’organisations.
Puis, en 2021, le gang de ransomwares a exploité un jour zéro dans le logiciel FTP SolarWinds Serv-U pour voler des données et violer les réseaux.
En 2023, Clop a exploité un jour zéro sur la plate-forme MFT GoAnywhere, permettant au gang de ransomwares de voler à nouveau les données de plus de 100 entreprises.
Cependant, leur attaque la plus importante de ce type utilisait un jour zéro dans la plate-forme MOVEit Transfer qui leur permettait de voler des données à 2 773 organisations, selon un rapport d’Emsisoft.
À l’heure actuelle, on ne sait pas combien d’entreprises ont été touchées par les attaques de vol de données Cleo, et Breachtrace ne connaît aucune entreprise qui a confirmé avoir été piratée via la plate-forme.
Le programme de récompenses pour la justice du Département d’État américain prévoit actuellement une prime de 10 millions de dollars pour les informations reliant les attaques de ransomware Clop à un gouvernement étranger.