Ransomware-Gruppe Clop bestätigt Ausnutzung kritischer Cleo-Sicherheitslücke

CyberSecureFox 🦊

Die berüchtigte Ransomware-Gruppe Clop hat ihre Verantwortung für eine weitreichende Cyber-Angriffskampagne bestätigt, die eine kritische Zero-Day-Schwachstelle in Cleo-Softwareprodukten ausnutzt. Die Angreifer zielten dabei auf die Unternehmenslösungen LexiCom, VLTransfer und Harmony ab, um sich Zugang zu Firmennetzwerken zu verschaffen und sensible Daten zu entwenden.

Details zur Sicherheitslücke und Patch-Status

Die identifizierte Schwachstelle betrifft Cleo-Produkte bis Version 5.8.0.21 und ermöglicht Angreifern das uneingeschränkte Hoch- und Herunterladen beliebiger Dateien. Besonders kritisch ist, dass diese Lücke eine Umgehung des im Oktober 2024 veröffentlichten Patches für CVE-2024-50623 darstellt. Die Ausnutzung der Schwachstelle kann zur Remote Code Execution führen, was Angreifern vollständige Kontrolle über betroffene Systeme ermöglicht.

Betroffene Unternehmen und Ausmaß des Angriffs

Mit über 4.000 Unternehmenskunden weltweit, darunter Global Player wie Target, Walmart und FedEx, ist das Bedrohungspotential erheblich. Sicherheitsexperten von Sophos haben bereits Kompromittierungsanzeichen auf mehr als 50 Systemen nachgewiesen, wobei sich die Mehrheit der betroffenen Systeme in den USA befindet.

Technische Analyse der Malware

Ein Forscherteam von Rapid7, Huntress und Binary Defense hat die eingesetzte Schadsoftware „Malichus“ analysiert. Diese basiert auf einer verschlüsselten JAR-Datei und ist Teil eines größeren Java-basierten Post-Exploitation-Frameworks. Obwohl die Malware sowohl Windows- als auch Linux-Systeme angreifen kann, konzentrierten sich die bisherigen Angriffe hauptsächlich auf Windows-Umgebungen.

Schutzmaßnahmen und Empfehlungen

Cleo hat mittlerweile Version 5.8.0.24 veröffentlicht, die die Sicherheitslücke schließt. Unternehmen wird dringend empfohlen, das Update umgehend zu installieren. Falls eine sofortige Aktualisierung nicht möglich ist, sollte als Zwischenlösung die Autostart-Funktion deaktiviert werden, um das Angriffsrisiko zu minimieren. Zusätzlich empfehlen Sicherheitsexperten die Implementierung einer mehrstufigen Sicherheitsstrategie, einschließlich regelmäßiger Backups und Network Segmentation.

Clop hat zwischenzeitlich das Ende ihrer Angriffskampagne verkündet und die Löschung aller erbeuteten Daten von ihren Leak-Servern zugesagt. Wie bereits bei früheren Kampagnen, etwa den MOVEit-Transfer-Angriffen, bekräftigte die Gruppe ihre Politik, keine Angriffe auf staatliche Einrichtungen und Gesundheitsorganisationen durchzuführen. Spekulationen über eine mögliche Verbindung zur neu aufgetauchten Gruppe Termite bleiben bisher unbestätigt.

Schreibe einen Kommentar

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.