Плодотворная банда вымогателей Clop назвала имена десятков корпоративных жертв, которые, по их утверждениям, были взломаны за последние недели после использования уязвимости в нескольких популярных корпоративных продуктах для передачи файлов, разработанных американской компанией-разработчиком программного обеспечения Cleo.
В сообщении на своем сайте утечки информации в темной сети, которое увидел TechCrunch, связанная с Россией банда Clop перечислила 59 организаций, которые, по их утверждениям, взломали систему, воспользовавшись уязвимостью высокого риска в программных инструментах Cleo.
Уязвимость затрагивает продукты Cleo LexiCom, VLTransfer и Harmony. Клео впервые раскрыла уязвимость в рекомендациях по безопасности в октябре 2024 года, прежде чем исследователи безопасности заметили, что хакеры массово использовали эту уязвимость несколько месяцев спустя, в декабре.
В своем сообщении компания Clop заявила, что уведомила взломанные организации, но организации-жертвы не вели переговоров с хакерами. Clop угрожает опубликовать данные, которые она предположительно украла 18 января, если ее требования о выкупе не будут выплачены.
Инструменты передачи корпоративных файлов являются популярной мишенью среди хакеров-вымогателей, в частности Clop, поскольку в этих системах часто хранятся конфиденциальные данные. В последние годы банда вымогателей ранее эксплуатировала уязвимости в продукте MOVEit Transfer компании Progress Software, а позже взяла на себя ответственность за массовую эксплуатацию уязвимости в программном обеспечении для управляемой передачи файлов GoAnywhere от Fortra.
После недавней хакерской активности по крайней мере одна компания подтвердила вторжение, связанное с атаками Clop на системы Cleo.
Немецкий производственный гигант Covestro сообщил TechCrunch, что Clop связался с ним, и с тех пор подтвердил, что банда получила доступ к определенным хранилищам данных в его системах.
«Мы подтвердили, что имелся несанкционированный доступ к логистическому серверу в США, который используется для обмена информацией о доставке с нашими поставщиками транспортных услуг», — заявил в своем заявлении представитель Covestro Пшемыслав Едрисик. «В ответ мы приняли меры по обеспечению целостности системы, усилению мониторинга безопасности и упреждающему уведомлению клиентов.
Джедрисик подтвердил, что «большая часть информации, содержащейся на сервере, не носила конфиденциального характера», но отказался сообщить, к каким типам данных осуществлялся доступ.
Другие предполагаемые жертвы, с которыми беседовал TechCrunch, оспорили утверждения Клопа и заявили, что они не были скомпрометированы в рамках последней кампании массового взлома банды.
Эмили Спенсер, представитель американского гиганта по аренде автомобилей Hertz, заявила в своем заявлении, что компания «осведомлена» о претензиях Клопа, но отметила, что «на данный момент нет никаких доказательств того, что данные Hertz или системы Hertz были затронуты».
«Из соображений предосторожности мы продолжаем активно следить за этим вопросом при поддержке нашего стороннего партнера по кибербезопасности», — добавил Спенсер.
Кристина Панайоту, представитель Linfox, австралийской логистической фирмы, которую Clop перечислил на своем сайте утечки, также оспорила утверждения банды, заявив, что компания не использует программное обеспечение Cleo и «не сталкивалась с киберинцидентами с участием ее собственных систем».
На вопрос, имел ли Linfox доступ к данным из-за киберинцидента с участием третьей стороны, Панайоту не ответил.
Представители Arrow Electronics и Western Alliance Bank также сообщили TechCrunch, что они не нашли никаких доказательств того, что их системы были скомпрометированы.
Clop также включил в список недавно взломанного гиганта цепочки поставок программного обеспечения Blue Yonder. Компания, подтвердившая ноябрьскую атаку с использованием программы-вымогателя, не обновляла свою страницу инцидентов в области кибербезопасности с 12 декабря.
В последний раз, когда TechCrunch обращался к TechCrunch, представитель Blue Yonder Марина Реннеке подтвердила 26 декабря, что компания «использует Cleo для поддержки и управления передачей определенных файлов» и что она расследует любой потенциальный доступ, но добавила, что у компании «нет оснований полагать, что Уязвимость Cleo связана с инцидентом кибербезопасности, с которым мы столкнулись в ноябре». Компания не предоставила доказательств претензии и не предоставила каких-либо комментариев, полученных на этой неделе.
На вопрос TechCrunch ни одна из ответивших компаний не ответила, есть ли у них технические средства, такие как журналы, для обнаружения доступа или кражи их данных.
TechCrunch еще не получил ответов от других организаций, перечисленных на сайте утечки Clop. Clop утверждает, что 21 января он добавит новые организации-жертвы на свой сайт утечки информации в даркнете.
Пока неизвестно, сколько компаний подверглось атаке, а Клео, которая сама числится жертвой Clop, не ответила на вопросы TechCrunch.
