A gangue de ransomware Clop confirmou, ao site BleepingComputer, que foi a responsável pelos recentes ataques de roubo de dados envolvendo a Cleo, utilizando falhas de dia zero para acessar redes corporativas e furtar informações.
Clop ransomware assume a responsabilidade por ataques de roubo de dados na Cleo
A Cleo, desenvolvedora de plataformas de transferência de arquivos, como Cleo Harmony, VLTrader e LexiCom, fornece soluções para empresas trocarem arquivos com segurança com seus parceiros e clientes. Em outubro de 2024, a empresa corrigiu uma vulnerabilidade crítica, identificada como CVE-2024-50623, que permitia o upload e download irrestritos de arquivos, possibilitando a execução remota de código.
No entanto, a Huntress, empresa de segurança cibernética, revelou que o patch aplicado pela Cleo estava incompleto, permitindo que hackers continuassem explorando uma falha para realizar ataques de roubo de dados. Utilizando esse erro, os atacantes implantaram um backdoor JAVA, que possibilitou o roubo de dados e a execução de comandos, ampliando o acesso à rede comprometida.
Na sexta-feira, 12 de dezembro, a CISA (Agência de Cibersegurança e Infraestrutura dos EUA) confirmou que a vulnerabilidade CVE-2024-50623 foi explorada em ataques de ransomware. Contudo, a Cleo não divulgou publicamente que a falha corrigida em outubro havia sido de fato explorada.
Responsabilidade do ataque
Inicialmente, acreditava-se que os ataques à Cleo fossem realizados por uma nova gangue de ransomware chamada Termite. Porém, investigações mais aprofundadas apontaram que os ataques estavam ligados à gangue Clop, que já havia realizado ataques similares no passado. Após o contato com a gangue, Clop confirmou sua responsabilidade pelos ataques, incluindo a exploração da falha CVE-2024-50623, e afirmou que todos os dados roubados foram manuseados de acordo com suas normas de segurança.
Em uma declaração publicada em seu site de extorsão, a gangue Clop anunciou que todos os dados associados a ataques anteriores foram excluídos de seus servidores, e que somente novos alvos seriam considerados para futuros ataques. A mensagem também desejava “Feliz Ano Novo” às vítimas dos vazamentos de dados.
Especialização em plataformas de transferência de arquivos
A Clop, também conhecida como TA505, iniciou suas atividades em 2019 com variantes do ransomware CryptoMix. Desde 2020, a gangue tem se especializado em explorar vulnerabilidades desconhecidas em plataformas de transferência de arquivos seguras para roubo de dados. Entre seus ataques mais notórios estão os realizados nas plataformas Accellion FTA (2020), SolarWinds Serv-U FTP (2021), GoAnywhere MFT (2023) e MOVEit Transfer (2023), que resultaram no roubo de dados de centenas de empresas.
Ainda não se sabe exatamente quantas empresas foram afetadas pelos ataques mais recentes da Cleo, e até o momento, nenhuma organização confirmou oficialmente ter sido comprometida. O Departamento de Estado dos EUA, por meio do programa Recompensas pela Justiça, está oferecendo uma recompensa de até US$ 10 milhões (aproximadamente R$ 60 mi) por informações que liguem a Clop a atividades de governos estrangeiros.