A prolífica gangue de ransomware Clop nomeou dezenas de vítimas corporativas que afirma ter hackeado nas últimas semanas após explorar uma vulnerabilidade em vários produtos empresariais populares de transferência de arquivos desenvolvidos pela empresa de software norte-americana Cleo.
Em uma postagem em seu site de vazamento na dark web, vista pelo TechCrunch, a gangue Clop, ligada à Rússia, listou 59 organizações que afirma ter violado ao explorar o bug de alto risco nas ferramentas de software de Cleo.
A falha afeta os produtos LexiCom, VLTransfer e Harmony da Cleo. Cleo divulgou a vulnerabilidade pela primeira vez em um comunicado de segurança de outubro de 2024 antes pesquisadores de segurança observaram hackers explorando em massa a vulnerabilidade meses depois, em dezembro.
A Clop afirmou em sua postagem que notificou as organizações que violou, mas que as organizações vítimas não negociaram com os hackers. Clop está ameaçando publicar os dados que supostamente roubou em 18 de janeiro, a menos que seus pedidos de resgate sejam pagos.
As ferramentas corporativas de transferência de arquivos são um alvo popular entre os hackers de ransomware – e o Clop, em particular – devido aos dados confidenciais frequentemente armazenados nesses sistemas. Nos últimos anos, a gangue de ransomware já explorou vulnerabilidades em Produto MOVEit Transfer da Progress Softwaree mais tarde recebeu o crédito por a exploração em massa de uma vulnerabilidade no GoAnywhere da Fortra software de transferência de arquivos gerenciado.
Após sua mais recente onda de hackers, pelo menos uma empresa confirmou uma intrusão ligada aos ataques de Clop aos sistemas Cleo.
A gigante manufatureira alemã Covestro disse ao TechCrunch que foi contatada pela Clop e, desde então, confirmou que a gangue acessou determinados armazenamentos de dados em seus sistemas.
“Confirmamos que houve acesso não autorizado a um servidor de logística dos EUA, que é usado para trocar informações de remessa com nossos fornecedores de transporte”, disse o porta-voz da Covestro, Przemyslaw Jedrysik, em comunicado. “Em resposta, tomamos medidas para garantir a integridade do sistema, melhorar o monitoramento da segurança e notificar os clientes de forma proativa.
Jedrysik confirmou que “a maioria das informações contidas no servidor não eram de natureza sensível”, mas se recusou a informar quais tipos de dados foram acessados.
Outras supostas vítimas com quem o TechCrunch conversou contestaram as alegações de Clop e dizem que não foram comprometidas como parte da última campanha de hack em massa da gangue.
Emily Spencer, porta-voz da gigante norte-americana de aluguel de automóveis Hertz, disse em um comunicado que a empresa está “ciente” das alegações de Clop, mas disse que “não há evidências de que os dados da Hertz ou os sistemas da Hertz tenham sido afetados neste momento”.
“Por precaução, continuamos a monitorar ativamente este assunto com o apoio de nosso parceiro terceirizado de segurança cibernética”, acrescentou Spencer.
Christine Panayotou, porta-voz da Linfox, uma empresa de logística australiana que Clop listou em seu site de vazamento, também contestou as alegações da gangue, dizendo que a empresa não usa software Cleo e “não sofreu um incidente cibernético envolvendo seus próprios sistemas”.
Quando questionado se a Linfox teve dados acessados devido a um incidente cibernético envolvendo terceiros, Panayotou não respondeu.
Porta-vozes da Arrow Electronics e do Western Alliance Bank também disseram ao TechCrunch que não encontraram nenhuma evidência de que seus sistemas tenham sido comprometidos.
Clop também listou os recentemente violou a gigante da cadeia de fornecimento de software Blue Yonder. A empresa, que confirmou um ataque de ransomware em novembro, não atualizou sua página de incidentes de segurança cibernética desde 12 de dezembro.
Quando contatada pela última vez pelo TechCrunch, a porta-voz da Blue Yonder, Marina Renneke, confirmou em 26 de dezembro que a empresa “usa Cleo para oferecer suporte e gerenciar certas transferências de arquivos” e que estava investigando qualquer acesso potencial, mas acrescentou que a empresa “não tem razão para acreditar no A vulnerabilidade Cleo está ligada ao incidente de segurança cibernética que vivenciamos em novembro.” A empresa não forneceu evidências para a alegação, nem fez qualquer comentário mais recente quando contatada esta semana.
Quando questionadas pelo TechCrunch, nenhuma das empresas que responderam disse se tinham os meios técnicos, como registos, para detectar o acesso ou exfiltração dos seus dados.
O TechCrunch ainda não recebeu respostas de outras organizações listadas no site de vazamento do Clop. Clop afirma que adicionará mais organizações de vítimas ao seu site de vazamento da dark web em 21 de janeiro.
Ainda não se sabe quantas empresas foram visadas, e Cleo – que foi listada como vítima do Clop – não respondeu às perguntas do TechCrunch.