Хакерская группировка Clop перешла к активной фазе вымогательства после успешной эксплуатации критической уязвимости в программном обеспечении компании Cleo. На своей площадке в даркнете злоумышленники опубликовали список из 66 организаций, предоставив им 48-часовой ультиматум для начала переговоров о выкупе.
Механизм атаки и масштаб угрозы
Специалисты по кибербезопасности установили, что атака была реализована через эксплуатацию уязвимости нулевого дня CVE-2024-50623 в продуктах Cleo: LexiCom, VLTransfer и Harmony. Данная брешь позволяла злоумышленникам осуществлять неограниченную загрузку и выгрузку файлов, что в конечном итоге приводило к удаленному выполнению произвольного кода на целевых системах.
Тактика вымогателей и коммуникация с жертвами
По данным Bleeping Computer, хакеры установили прямой контакт с пострадавшими организациями, предоставив им доступ к защищенному чату для ведения переговоров. Для компаний, не ответивших на первоначальные попытки связи, были опубликованы специальные email-адреса. Важно отметить, что опубликованный список в 66 компаний может быть неполным, так как включает только организации, проигнорировавшие первичный контакт.
Исторический контекст атак Clop
Текущая кампания продолжает серию масштабных атак группировки Clop на корпоративное программное обеспечение. Ранее жертвами становились пользователи Accellion FTA, GoAnywhere MFT и MOVEit Transfer. Эта последовательность указывает на системный подход хакеров к выбору целей и эксплуатации уязвимостей в критически важном корпоративном ПО.
Меры противодействия и рекомендации
В середине декабря разработчики Cleo выпустили патч безопасности, настоятельно рекомендовав всем клиентам обновиться до версии 5.8.0.24. Учитывая, что клиентская база Cleo превышает 4000 компаний, включая таких гигантов как Target, Walmart, FedEx и The Home Depot, потенциальный масштаб атаки может быть значительно больше текущих оценок.
Данный инцидент подчеркивает критическую важность своевременного обновления программного обеспечения и необходимость комплексного подхода к кибербезопасности корпоративных систем. Организациям рекомендуется усилить мониторинг сетевой активности и обеспечить надежное резервное копирование критически важных данных для минимизации потенциального ущерба от подобных атак.
