Clop勒索病毒现已向66家Cleo数据泄露受害公司勒索
Clop勒索病毒团伙利用Cleo Harmony、VLTrader和LexiCom产品中的零日漏洞(CVE-2024-50623),对全球多家公司实施数据盗窃并展开勒索。黑客威胁将在48小时内公开未回应赎金要求的公司名单,并通过暗网门户和电子邮件与受害者展开谈判。Cleo公司已发布安全补丁,但研究人员警告漏洞修复可能被绕过,网络安全形势严峻。本文解析Clop攻击手段、影响范围及防护措施,帮助企业提高应对勒索病毒的能力。
Clop勒索病毒团伙开始向其Cleo数据盗窃攻击的受害者进行勒索,并在其暗网门户网站上宣布,66家公司有48小时的时间回应勒索要求。
黑客表示,他们已直接联系这些公司,提供了安全聊天渠道的链接,以便进行赎金支付谈判。同时,受害者也可以通过提供的电子邮件地址主动与黑客联系。
在泄露网站的通知中,Clop列出了66个未与黑客展开谈判的公司部分名称。黑客威胁称,如果这些公司继续忽视勒索要求,将在48小时内公开它们的完整名称。
黑客指出,这个名单仅代表那些已被联系但未回应的受害者,暗示受影响的公司名单可能更为庞大。
Clop再次实现重大突破
Cleo数据泄露事件为Clop勒索病毒团伙带来了又一次重大成功,该团伙利用Cleo LexiCom、VLTransfer和Harmony产品中的零日漏洞,从被攻击公司网络窃取数据。
此前,Clop勒索病毒曾通过利用Accellion FTA安全文件传输平台、GoAnywhere MFT平台和MOVEit Transfer平台中的零日漏洞访问公司网络。该团伙还曾针对运行SolarWinds Serv-U FTP软件的公司展开攻击。
此次被利用的零日漏洞目前被追踪为CVE-2024-50623,它允许远程攻击者执行无限制的文件上传和下载,从而导致远程代码执行。
Cleo公司已经发布了Cleo Harmony、VLTrader和LexiCom 5.8.0.21版本的修复补丁,并在私人咨询中警告称,黑客正在利用该漏洞在受害网络上打开反向Shell。
本月早些时候,Huntress公开披露了该漏洞的积极利用,并警告称供应商的修复措施可能会被绕过。研究人员还提供了概念验证(PoC)漏洞利用代码来展示他们的发现。
几天后,Clop勒索病毒向BleepingComputer确认是其利用了CVE-2024-50623。
这一臭名昭著的勒索病毒团伙宣称,之前攻击中窃取的数据将从其平台中删除,因为它们将专注于新的勒索回合。
Macnica的研究员Yutaka Sejiyama在给BleepingComputer的邮件中表示,即使Clop在数据泄露网站上发布的公司名称不完整,通过将黑客提供的线索与公开网络上暴露的Cleo服务器所有者进行交叉比对,仍然可以识别出一些受害公司。
目前尚不清楚Clop此次攻击波影响了多少公司,但Cleo声称其软件全球有超过4,000家组织在使用。
