Băng Clop ransomware sản xuất đã đặt tên cho hàng chục nạn nhân do họ tuyên bố đã hack vào trong những tuần gần đây sau khi khai thác một lỗ hổng trong một số sản phẩm chuyển tập tin do công ty phần mềm Cleo của Mỹ phát triển.
Trong một bài đăng trên trang web rò rỉ dark web của mình, được TechCrunch thấy, băng Clop liên kết với Nga đã liệt kê 59 tổ chức họ tuyên bố đã xâm nhập bằng cách khai thác lỗi rủi ro cao trong các công cụ phần mềm của Cleo.
Lỗ hổng ảnh hưởng đến các sản phẩm LexiCom, VLTransfer và Harmony của Cleo. Cleo đầu tiên tiết lộ lỗi này trong một hướng dẫn bảo mật vào tháng 10 năm 2024 trước khi các nhà nghiên cứu an ninh quan sát thấy những hacker khai thác lỗ hổng một cách masstive sau vài tháng vào tháng 12.
Clop tuyên bố trong bài viết của mình rằng họ đã thông báo cho các tổ chức họ đã xâm nhập, nhưng các tổ chức trong số nạn nhân không đàm phán với hacker. Clop đang đe dọa sẽ xuất bản dữ liệu mà họ tuyên bố đã đánh cắp vào ngày 18 tháng 1 trừ khi đòi hỏi của họ được thanh toán.
Công cụ chuyển tập tin doanh nghiệp là mục tiêu phổ biến của các hacker ransomware - và Clop, trong trường hợp này - cho dữ liệu nhạy cảm thường được lưu trữ trong các hệ thống này. Trong những năm gần đây, băng ransomware trước đây đã khai thác lỗ hổng trong sản phẩm MOVEit Transfer của Progress Software, và sau đó đã nhận tín hiệu cho việc khai thác masstive về lỗi trong phần mềm chuyển tập tin Managed GoAnywhere của Fortra.
Sau đợt tấn công lần này, ít nhất một công ty đã xác nhận xâm nhập liên kết với các cuộc tấn công của Clop vào hệ thống Cleo.
Công ty sản xuất người Đức Covestro cho biết với TechCrunch rằng họ đã được liên hệ bởi Clop, và từ đó xác nhận rằng băng đã truy cập vào một số cửa hàng dữ liệu cụ thể trên hệ thống của họ.
“Chúng tôi đã xác nhận rằng đã có việc truy cập trái phép vào một máy chủ vận chuyển tại Mỹ, được sử dụng để trao đổi thông tin vận chuyển với các nhà cung cấp vận chuyển của chúng tôi,” người phát ngôn Covestro, Przemyslaw Jedrysik nói trong một tuyên bố. “Như phản ứng, chúng tôi đã thực hiện biện pháp để đảm bảo tính toàn vẹn hệ thống, tăng cường giám sát an ninh và tự nguyện thông báo cho khách hàng.”
Jedrysik xác nhận rằng “đa số thông tin chứa trên máy chủ không phải là thông tin nhạy cảm,” nhưng từ chối nói rõ loại dữ liệu đã được truy cập.
Các nạn nhân được cho là của Clop mà TechCrunch đã nói chuyện với đã phản đối các tuyên bố của Clop, và cho rằng họ không bị xâm nhập trong đợt tấn công lớn nhất của băng này.
Emily Spencer, người phát ngôn của tập đoàn cho thuê xe ô tô Hertz của Mỹ, nói trong một tuyên bố rằng công ty “nhận thức” về những tuyên bố của Clop, nhưng không có bằng chứng cho thấy rằng dữ liệu hoặc hệ thống của Hertz đã bị ảnh hưởng vào thời điểm này.
“Vì sự cẩn trọng, chúng tôi vẫn tiếp tục theo dõi vấn đề này một cách tích cực với sự hỗ trợ của đối tác bảo mật mạng của chúng tôi,” Spencer thêm.
Christine Panayotou, người phát ngôn của Linfox, một công ty logistics Australia mà băng Clop liệt kê trên trang rò rỉ của mình, cũng phản đối các tuyên bố của băng, nói rằng công ty không sử dụng phần mềm Cleo và không gặp vấn đề an ninh mạng liên quan đến hệ thống của mình.
Khi được hỏi là Linfox có dữ liệu bị truy cập do vụ việc an ninh mạng liên quan đến bên thứ ba, Panayotou không trả lời.
Các người phát ngôn của Arrow Electronics và Western Alliance Bank cũng cho biết với TechCrunch họ không tìm thấy bằng chứng cho thấy hệ thống của họ đã bị xâm nhập.
Clop cũng đã liệt kê tập đoàn dịch vụ chuỗi cung ứng phần mềm Blue Yonder gần đây bị hack. Công ty này, sau khi xác nhận một vụ tấn công ransomware vào tháng 11, đã không cập nhật trang sự cố an ninh mạng của mình kể từ ngày 12 tháng 12.
Người phát ngôn Blue Yonder, Marina Renneke lặp lại một tuyên bố trước đó cho TechCrunch, lưu ý rằng công ty “sử dụng Cleo để hỗ trợ và quản lý một số truyền tệp” và đang điều tra việc tiếp cận tiềm năng, nhưng thêm rằng công ty không có lý do để tin rằng lỗ hổng Cleo liên quan đến vụ việc an ninh mạng họ đã trải qua vào tháng 11. Công ty không cung cấp bằng chứng cho tuyên bố đó.
Khi được hỏi bởi TechCrunch, không một công ty nào trong số các công ty đã phản ứng đã nói xét liệu họ có biện pháp kỹ thuật, như logs, để phát hiện việc truy cập hoặc trộm dữ liệu của họ.
TechCrunch hiện chưa nhận được câu trả lời từ các tổ chức khác được liệt kê trên trang rò rỉ của Clop. Clop tuyên bố sẽ thêm nhiều tổ chức nạn nhân khác vào trang rò rỉ dark web của họ vào ngày 21 tháng 1.
Chưa biết có bao nhiêu công ty đã bị nhắm đến, và Cleo - công ty đã bị liệt kê là nạn nhân của Clop - đã không trả lời câu hỏi của TechCrunch.
