Geng ransomware Clop yang produktif telah menyebutkan nama puluhan perusahaan korban yang diklaim telah diretas dalam beberapa minggu terakhir setelah mengeksploitasi kerentanan di beberapa produk transfer file perusahaan populer yang dikembangkan oleh perusahaan perangkat lunak Amerika, Cleo.
Dalam sebuah postingan di situs kebocoran web gelapnya, yang dilihat oleh TechCrunch, geng Clop yang terkait dengan Rusia mencantumkan 59 organisasi yang diklaim telah dibobol dengan mengeksploitasi bug berisiko tinggi pada perangkat lunak Cleo.
Cacat ini mempengaruhi produk LexiCom, VLTransfer dan Harmony Cleo. Cleo pertama kali mengungkapkan kerentanannya dalam nasihat keamanan Oktober 2024 sebelumnya Peneliti keamanan mengamati peretas mengeksploitasi kerentanan secara besar-besaran beberapa bulan kemudian pada bulan Desember..
Clop mengklaim dalam postingannya bahwa dia memberi tahu organisasi yang dia langgar, namun organisasi korban tidak bernegosiasi dengan para peretas. Clop mengancam akan merilis data yang diduga dicurinya pada 18 Januari kecuali tuntutan tebusannya dibayar.
Alat transfer file perusahaan adalah target populer bagi peretas ransomware (dan Clop, khususnya) karena data sensitif yang sering disimpan di sistem ini. Dalam beberapa tahun terakhir, geng ransomware sebelumnya mengeksploitasi kerentanan di Kemajuan Perangkat Lunak Produk Transfer MOVEitdan kemudian mengambil pujian eksploitasi besar-besaran atas kerentanan di GoAnywhere Fortra perangkat lunak transfer file yang dikelola.
Menyusul aksi peretasan baru-baru ini, setidaknya satu perusahaan telah mengkonfirmasi adanya gangguan terkait serangan Clop terhadap sistem Cleo.
Raksasa manufaktur Jerman Covestro mengatakan kepada TechCrunch bahwa Clop telah menghubunginya dan sejak itu mengonfirmasi bahwa geng tersebut mengakses penyimpanan data tertentu di sistemnya.
“Kami mengkonfirmasi bahwa ada akses tidak sah ke server logistik AS, yang digunakan untuk bertukar informasi pengiriman dengan penyedia transportasi kami,” kata juru bicara Covestro Przemyslaw Jedrysik dalam sebuah pernyataan. “Sebagai tanggapan, kami telah mengambil langkah-langkah untuk memastikan integritas sistem, meningkatkan pemantauan keamanan, dan secara proaktif memberi tahu pelanggan.
Jedrysik membenarkan bahwa “sebagian besar informasi yang terdapat di server tidak bersifat sensitif,” namun menolak menyebutkan jenis data apa yang telah diakses.
Terduga korban lainnya yang telah diajak bicara oleh TechCrunch telah membantah klaim Clop dan mengatakan bahwa klaim tersebut tidak dikompromikan sebagai bagian dari kampanye peretasan besar-besaran terbaru geng tersebut.
Emily Spencer, juru bicara raksasa rental mobil Amerika Hertz, mengatakan dalam sebuah pernyataan bahwa perusahaan tersebut “mengetahui” klaim Clop, namun mengatakan “tidak ada bukti bahwa data atau sistem Hertz terpengaruh pada saat ini”.
“Sebagai bentuk kehati-hatian, kami terus memantau secara aktif masalah ini dengan dukungan mitra keamanan siber pihak ketiga kami,” tambah Spencer.
Christine Panayotou, juru bicara Linfox, sebuah perusahaan logistik Australia yang dicantumkan Clop di situs kebocorannya, juga membantah klaim geng tersebut, dengan mengatakan bahwa perusahaan tersebut tidak menggunakan perangkat lunak Cleo dan “belum mengalami insiden dunia maya yang melibatkan sistemnya sendiri”.
Saat ditanya apakah data Linfox diakses karena insiden siber yang melibatkan pihak ketiga, Panayotou tidak menjawab.
Juru bicara Arrow Electronics dan Western Alliance Bank juga mengatakan kepada TechCrunch bahwa mereka tidak menemukan bukti bahwa sistem mereka telah disusupi.
Clop juga mencantumkan Rantai Pasokan Perangkat Lunak yang Baru-baru ini Dilanggar Giant Blue Yonder. Perusahaan, yang mengonfirmasi serangan ransomware pada bulan November, telah melakukannya tidak memperbarui halaman insiden keamanan sibernya sejak 12 Desember.
Juru bicara Blue Yonder Marina Renneke mengulangi pernyataan sebelumnya kepada TechCrunch, mencatat bahwa perusahaan “menggunakan Cleo untuk mencadangkan dan mengelola transfer file tertentu” dan sedang menyelidiki potensi akses, tetapi menambahkan bahwa perusahaan “tidak memiliki alasan untuk mempercayai Cleo. kerentanan.” “Ini terkait dengan insiden keamanan siber yang kami alami pada bulan November.” Perusahaan tidak memberikan bukti atas klaim tersebut.
Ketika ditanya oleh TechCrunch, tidak ada perusahaan yang menjawab yang mengatakan apakah mereka memiliki sarana teknis, seperti log, untuk mendeteksi akses atau eksfiltrasi data mereka.
TechCrunch belum menerima tanggapan dari organisasi lain yang terdaftar di situs kebocoran Clop. Clop mengatakan pihaknya akan menambahkan lebih banyak organisasi korban ke situs kebocoran web gelapnya pada 21 Januari.
Belum diketahui berapa banyak perusahaan yang diserang, dan Cleo, yang terdaftar sebagai korban Clop, tidak menanggapi pertanyaan TechCrunch.
