Die Ransomware-Gruppe Clop hat eine kritische Sicherheitslücke in der weit verbreiteten Cleo-Integrationssoftware ausgenutzt und bedroht 66 Unternehmen mit der Veröffentlichung sensibler Daten. Die Cyberkriminellen stellten den betroffenen Organisationen ein 48-Stunden-Ultimatum für Lösegeldzahlungen.
Details zur Zero-Day-Schwachstelle und Angriffsvektor
Die ausgenutzte Schwachstelle wurde als CVE-2024-50623 klassifiziert und betrifft die Cleo-Produkte LexiCom, VLTransfer und Harmony. Sicherheitsexperten bestätigen, dass diese Zero-Day-Lücke Angreifern uneingeschränkten Dateizugriff ermöglicht und Remote Code Execution auf kompromittierten Systemen erlaubt. Eine zweite, eng verwandte Schwachstelle (CVE-2024-55956) wurde ebenfalls aktiv ausgenutzt und ermöglicht das Hochladen und Ausführen beliebiger Dateien ohne Authentifizierung.
Betroffen: Alle Unternehmen mit Cleo LexiCom, VLTransfer oder Harmony
Direkt gefährdet sind alle Unternehmen, die Cleo LexiCom, VLTransfer oder Harmony in Versionen vor 5.8.0.24 einsetzen. Cleos Kundenbasis umfasst über 4.000 Organisationen, darunter Target, Walmart, FedEx und The Home Depot. Besonders betroffen sind Branchen mit hohem Datenaustauschvolumen: Logistik, Einzelhandel und Finanzdienstleistungen. Die 66 öffentlich genannten Opfer gelten als Mindestanzahl – das tatsächliche Ausmaß dürfte deutlich größer sein.
Erpressungsstrategie und Kommunikationswege
Nach Informationen von Bleeping Computer haben die Angreifer einen verschlüsselten Kommunikationskanal für Lösegeldforderungen eingerichtet. Für Unternehmen, die nicht auf erste Kontaktversuche reagierten, wurden alternative E-Mail-Adressen veröffentlicht. Die CISA warnt ausdrücklich davor, Lösegeldforderungen nachzukommen, da Zahlungen keine Datenvernichtung garantieren.
Historische Einordnung der Clop-Kampagnen
Die aktuelle Attacke reiht sich in eine Serie gezielter Angriffe der Clop-Gruppe ein. Bereits in der Vergangenheit wurden erfolgreich Schwachstellen in Accellion FTA, GoAnywhere MFT und MOVEit Transfer ausgenutzt. Diese systematische Vorgehensweise unterstreicht die strategische Ausrichtung der Gruppe auf geschäftskritische File-Transfer-Anwendungen mit breiter Unternehmensbasis.
Empfohlene Schutzmaßnahmen
Cleo hat einen Sicherheitspatch (Version 5.8.0.24) veröffentlicht, der beide Schwachstellen behebt. Administratoren sollten folgende Maßnahmen unverzüglich umsetzen:
- Cleo-Produkte auf Version 5.8.0.24 oder neuer aktualisieren
- Internetexponierte Cleo-Instanzen bis zum Patchen vom Netz trennen
- Netzwerk-Logs auf ungewöhnliche Dateiübertragungen und Prozessausführungen überprüfen
- AWS- und Cloud-Backups auf Integrität prüfen und offline Kopien sicherstellen
- Incident-Response-Plan aktivieren und CISA-Meldekanal nutzen, falls Kompromittierung vermutet wird
