Die Ransomware-Gruppe Clop hat eine groß angelegte Kampagne bestätigt, in der eine Zero-Day-Schwachstelle in Cleo-Softwareprodukten ausgenutzt wurde. Die Angreifer zielten auf die Unternehmenslösungen LexiCom, VLTransfer und Harmony ab, die für Dateiübertragungen in Unternehmensumgebungen eingesetzt werden. Der Angriff wurde von Sicherheitsforschern bei Rapid7, Huntress und Binary Defense analysiert.
Details zur Sicherheitslücke und Patch-Status
Die identifizierte Schwachstelle betrifft Cleo-Produkte bis Version 5.8.0.21 und ermöglicht Angreifern das uneingeschränkte Hoch- und Herunterladen beliebiger Dateien. Besonders kritisch ist, dass diese Lücke eine Umgehung des im Oktober 2024 veröffentlichten Patches für CVE-2024-50623 darstellt. Die Ausnutzung der Schwachstelle kann zur Remote Code Execution führen, was Angreifern vollständige Kontrolle über betroffene Systeme ermöglicht.
Betroffene Unternehmen und Ausmaß des Angriffs
Mit über 4.000 Unternehmenskunden weltweit, darunter Global Player wie Target, Walmart und FedEx, ist das Bedrohungspotential erheblich. Sicherheitsexperten von Sophos haben bereits Kompromittierungsanzeichen auf mehr als 50 Systemen nachgewiesen, wobei sich die Mehrheit der betroffenen Systeme in den USA befindet.
Technische Analyse der Malware
Ein Forscherteam von Rapid7, Huntress und Binary Defense hat die eingesetzte Schadsoftware „Malichus“ analysiert. Diese basiert auf einer verschlüsselten JAR-Datei und ist Teil eines größeren Java-basierten Post-Exploitation-Frameworks. Obwohl die Malware sowohl Windows- als auch Linux-Systeme angreifen kann, konzentrierten sich die bisherigen Angriffe hauptsächlich auf Windows-Umgebungen.
Schutzmaßnahmen und Empfehlungen
Cleo hat Version 5.8.0.24 veröffentlicht, die die Sicherheitslücke schließt. Unternehmen sollten das Update umgehend über das offizielle Cleo Support-Portal installieren. Als temporäre Maßnahme empfiehlt Cleo, die Autorun-Funktion in den Host Settings zu deaktivieren.
Clop hat zwischenzeitlich das Ende ihrer Angriffskampagne verkündet und die Löschung aller erbeuteten Daten von ihren Leak-Servern zugesagt. Wie bereits bei früheren Kampagnen, etwa den MOVEit-Transfer-Angriffen, bekräftigte die Gruppe ihre Politik, keine Angriffe auf staatliche Einrichtungen und Gesundheitsorganisationen durchzuführen. Spekulationen über eine mögliche Verbindung zur neu aufgetauchten Gruppe Termite bleiben bisher unbestätigt.
