Cl0p Ransomware Behind Cleo Attacks: An In-Depth Analysis
U posljednje vrijeme, Cl0p ransomware grupa, poznata po svojim nemilim postupcima poput incidenta s MOVIT-om, preuzela je odgovornost za nedavne napade na Cleo. Ova situacija dodatno naglašava važnost cybersigurnosti, dok istraživači iz Huntress-a otkrivaju ozbiljne ranjivosti u proizvodima za upravljanje prijenosom datoteka (MFT) iz Cleo.
Ranjivosti u Cleo Proizvodima
Prema istraživačima iz Huntress-a, tri Cleo proizvoda – LexiCom, VLTransfer i Harmony – imaju ozbiljnu ranjivost koja omogućava neograničeno učitavanje i preuzimanje datoteka. Ova ranjivost može dovesti do izvođenja udaljenog koda (RCE), a označena je kao CVE-2024-50623. Iako je Cleo izdao zakrpu za ovu ranjivost u listopadu 2024., čini se da nije bila učinkovita.
Posljedice za Organizacije
- Huntress je otkrio da je ranjivost aktivno iskorištavana, s najmanje dvije desetine kompromitiranih organizacija.
- Među žrtvama su razne kompanije u području potrošačkih proizvoda, logističke i brodske organizacije, te dobavljači hrane.
- Huntress napominje da su mnoge druge kompanije također u opasnosti zaradi ove ranjivosti.
Reakcija vladinih agencija
Nakon što je Huntress objavio svoja otkrića, američka Cybersecurity and Infrastructure Security Agency (CISA) dodala je ovu ranjivost u svoj katalog poznatih iskorištenih ranjivosti (KEV). Ovim potezom potvrđene su ranije izjave i federalnim agencijama je dan rok od tri tjedna da zakrpe probleme ili potpuno obustave korištenje pogođenih alata.
Pozicija Cl0p Grupe
Iako su dokazi u početku bili nejasni i napad nije bio pripisan određenoj grupi, Cl0p je izjavila: “Što se tiče CLEO-a, to je bio naš projekt koji je uspješno završen.” Ova izjava podcrtava da se grupa u velikoj mjeri drži sigurnosnih mjera kada se radi o podacima. Ako su podaci vezani za vladine usluge ili medicinske informacije, Cl0p prenosi da će odmah izbrisati tako osjetljive podatke bez oklijevanja.
Zaključak
Cjelokupna situacija naglašava rastuću prijetnju ranjivostima u softverskim sustavima i rizicima s kojima se organizacije suočavaju. Povrh svega, jasno je da Cl0p ransomware grupa ne želi imati posla s vladinim ili zdravstvenim podacima, jer bi to moglo dovesti do njihova razotkrivanja i ozbiljnih posljedica. Ova situacija služi kao podsjetnik organizacijama da redovito provjeravaju svoje sigurnosne protokole i budu na oprezu u vezi s mogućim ranjivostima.
