Le groupe de ransomwares Clop a revendiqué la responsabilité des récentes attaques de vol de données contre Cleo, en utilisant des vulnérabilités zero-day dans les plateformes de transfert de fichiers de l’entreprise. Les logiciels de transfert de fichiers gérés de Cleo (Cleo Harmony, VLTrader et LexiCom) ont été ciblés, permettant aux pirates informatiques de voler des données sensibles de l’entreprise.
Le ransomware Clop cible les plateformes de transfert de données Cleo
En octobre 2023, Cleo a corrigé une faille de sécurité identifiée comme CVE-2024-50623qui permettait des chargements et des téléchargements de fichiers sans restriction, conduisant potentiellement à des attaques par exécution de code à distance. Cependant, une société de cybersécurité, Huntress, a découvert que le correctif d’origine était inefficace et que les attaquants ont réussi à exploiter un contournement, entraînant des violations de données continues. Cette violation comprenait le téléchargement d’une porte dérobée JAVA, qui facilitait le vol de données et accordait aux pirates informatiques un accès supplémentaire aux réseaux compromis.
Suite à l’attaque, l’Agence de cybersécurité et de sécurité des infrastructures (CISA) confirmé l’exploitation de CVE-2024-50623 dans les récentes activités de ransomware. Cleo n’a pas reconnu publiquement l’exploitation de la vulnérabilité qui aurait été corrigée. Alors que les premières évaluations liaient ces attaques à un nouveau groupe nommé Termite, des enquêtes plus approfondies les ont rapprochées des activités de Clop.
Le groupe de ransomwares Clop, également connu sous les noms de TA505 et Cl0p, a fait ses preuves dans l’exploitation des vulnérabilités des plateformes de transfert de fichiers sécurisées. Cette stratégie est devenue importante en 2020, à commencer par un exploit zero-day dans l’Accellion FTA, impactant près d’une centaine d’organisations. En 2021, le groupe a exploité une vulnérabilité zero-day dans le logiciel FTP SolarWinds Serv-U, renforçant ainsi son attention sur ces types d’attaques.
En 2023, Clop a utilisé une tactique similaire contre la plateforme GoAnywhere MFT, ce qui lui a permis de compromettre les données de plus de 100 entreprises. Leur opération la plus notoire consistait à exploiter une vulnérabilité de la plateforme MOVEit Transfer, entraînant des violations de données dans 2 773 organisations. Les attaques actuelles contre Cleo constituent un autre chapitre de la campagne en cours de Clop ciblant les solutions de transfert de fichiers, suscitant d’importantes inquiétudes parmi les entreprises utilisant ces plates-formes.
Les pirates utilisent le ransomware US Marshals pour voler des documents secrets aux États-Unis
Cleo est restée largement silencieuse quant à l’ampleur de l’impact, et on ne sait toujours pas combien d’organisations ont été touchées par les récentes violations. Les rapports indiquent que Clop se concentre sur de nouveaux efforts d’extorsion liés aux récentes attaques Cleo, déclarant son intention de supprimer les données associées aux victimes précédentes. Un message du site d’extorsion de Clop indiquait que les liens vers les données des victimes antérieures seraient désactivés, l’accent étant mis sur le traitement uniquement avec les nouvelles entreprises ciblées par les exploits Cleo.
Le Département d’État des États-Unis poursuit Clop, le lie à des acteurs étatiques étrangers et a accordé une prime de 10 millions de dollars pour toute information permettant de le capturer.
« Quant à CLEO, c’est notre projet (y compris le précédent cleo) – qui a été mené à bien. Toutes les informations que nous stockons, lorsque nous travaillons avec elles, nous respectons toutes les mesures de sécurité. Si les données concernent des services gouvernementaux, des institutions, des médicaments, alors nous supprimerons immédiatement ces données sans hésitation (je vous rappelle la dernière fois où c’était avec moveit – toutes les données gouvernementales, les médicaments, les cliniques, les données de recherche scientifique de l’État). niveau ont été supprimés), nous respectons notre réglementation. avec amour © CL0P^_ », a déclaré Clop BipOrdinateur.
Crédit image en vedette : Wesley Ford/Unsplash
