Die produktive Clop-Ransomware-Bande hat Dutzende von Unternehmensopfern benannt, die sie nach eigenen Angaben in den letzten Wochen gehackt hat, nachdem sie eine Schwachstelle in mehreren beliebten Dateiübertragungsprodukten für Unternehmen ausgenutzt hatte, die vom US-Softwareunternehmen Cleo entwickelt wurden.
In einem von TechCrunch eingesehenen Beitrag auf ihrer Dark-Web-Leak-Seite listete die mit Russland verbundene Clop-Gang 59 Organisationen auf, von denen sie behauptet, dass sie durch die Ausnutzung des hochriskanten Fehlers in Cleos Software-Tools gehackt wurden.
Der Fehler betrifft die Produkte LexiCom, VLTransfer und Harmony von Cleo. Cleo hat die Schwachstelle erstmals in einer Sicherheitswarnung vom Oktober 2024 offengelegt Sicherheitsforscher beobachteten Monate später im Dezember, wie Hacker die Sicherheitslücke massiv ausnutzten.
Clop erklärte in seinem Beitrag, dass es die Organisationen, in die es verstoßen habe, benachrichtigt habe, dass die Opferorganisationen jedoch nicht mit den Hackern verhandelt hätten. Clop droht damit, die angeblich am 18. Januar gestohlenen Daten zu veröffentlichen, sofern seine Lösegeldforderungen nicht bezahlt werden.
Unternehmens-Dateiübertragungstools sind ein beliebtes Ziel von Ransomware-Hackern – und insbesondere von Clop – aufgrund der häufig auf diesen Systemen gespeicherten sensiblen Daten. In den letzten Jahren hat die Ransomware-Bande bereits Schwachstellen in ausgenutzt MOVEit Transfer-Produkt von Progress Softwareund erhielt später Anerkennung dafür die massenhafte Ausnutzung einer Schwachstelle in Fortras GoAnywhere Managed-File-Transfer-Software.
Nach seinem jüngsten Hackerangriff hat mindestens ein Unternehmen einen Einbruch im Zusammenhang mit Clops Angriffen auf Cleo-Systeme bestätigt.
Der deutsche Produktionsriese Covestro teilte TechCrunch mit, er sei von Clop kontaktiert worden und habe seitdem bestätigt, dass die Bande auf bestimmte Datenspeicher auf seinen Systemen zugegriffen habe.
„Wir haben bestätigt, dass ein unbefugter Zugriff auf einen US-Logistikserver stattgefunden hat, der zum Austausch von Versandinformationen mit unseren Transportdienstleistern verwendet wird“, sagte Covestro-Sprecher Przemyslaw Jedrysik in einer Erklärung. „Als Reaktion darauf haben wir Maßnahmen ergriffen, um die Systemintegrität sicherzustellen, die Sicherheitsüberwachung zu verbessern und Kunden proaktiv zu benachrichtigen.
Jedrysik bestätigte, dass „die Mehrzahl der auf dem Server enthaltenen Informationen nicht sensibler Natur“ sei, lehnte es jedoch ab, zu sagen, auf welche Datentypen zugegriffen wurde.
Andere mutmaßliche Opfer TechCrunch hat sich zu Wort gemeldet, um Clops Behauptungen zu bestreiten und zu sagen, dass sie nicht im Rahmen der jüngsten Massen-Hacking-Kampagne der Bande kompromittiert wurden.
Emily Spencer, eine Sprecherin des US-Autovermietungsgiganten Hertz, sagte in einer Erklärung, dass dem Unternehmen Clops Vorwürfe „bewusst“ seien, sagte jedoch: „Es gibt derzeit keine Beweise dafür, dass die Daten von Hertz oder die Systeme von Hertz betroffen sind.“
„Aus größter Vorsicht beobachten wir diese Angelegenheit weiterhin aktiv mit Unterstützung unseres externen Cybersicherheitspartners“, fügte Spencer hinzu.
Christine Panayotou, eine Sprecherin von Linfox, einem australischen Logistikunternehmen, das Clop auf seiner Leak-Website aufgeführt hat, bestritt die Behauptungen der Bande ebenfalls und sagte, das Unternehmen verwende keine Cleo-Software und habe „keinen Cyber-Vorfall mit seinen eigenen Systemen erlitten“.
Auf die Frage, ob Linfox aufgrund eines Cybervorfalls mit Beteiligung Dritter auf Daten zugegriffen habe, antwortete Panayotou nicht.
Sprecher von Arrow Electronics und Western Alliance Bank teilten TechCrunch außerdem mit, dass sie keine Beweise dafür gefunden hätten, dass ihre Systeme kompromittiert worden seien.
Clop listete auch die auf Der kürzlich angegriffene Software-Lieferkettenriese Blue Yonder. Das Unternehmen, das im November einen Ransomware-Angriff bestätigte, hat seine Seite mit Cybersicherheitsvorfällen nicht aktualisiert seit dem 12. Dezember.
Bei der letzten Kontaktaufnahme durch TechCrunch bestätigte die Sprecherin von Blue Yonder, Marina Renneke, am 26. Dezember, dass das Unternehmen „Cleo nutzt, um bestimmte Dateiübertragungen zu unterstützen und zu verwalten“ und dass es mögliche Zugriffe untersucht, fügte jedoch hinzu, dass das Unternehmen „keinen Grund hat, an das zu glauben.“ Die Cleo-Sicherheitslücke steht im Zusammenhang mit dem Cybersicherheitsvorfall, den wir im November erlebt haben.“ Das Unternehmen legte keine Beweise für die Behauptung vor und äußerte sich auch nicht weiter, als es diese Woche kontaktiert wurde.
Auf die Frage von TechCrunch antwortete keines der antwortenden Unternehmen, ob es über die technischen Mittel, wie etwa Protokolle, verfüge, um den Zugriff oder die Exfiltration seiner Daten zu erkennen.
TechCrunch hat noch keine Antworten von anderen Organisationen erhalten, die auf der Clop-Leak-Site aufgeführt sind. Clop behauptet, dass es am 21. Januar weitere Opferorganisationen zu seiner Dark-Web-Leak-Site hinzufügen wird.
Es ist noch nicht bekannt, wie viele Unternehmen ins Visier genommen wurden, und Cleo – die als Clop-Opfer aufgeführt wurde – antwortete nicht auf die Fragen von TechCrunch.
