Η συμμορία πίσω από το ransomware Clop έχει αρχίσει να εκβιάζει εταιρείες των οποίων τα δεδομένα κλάπηκαν χάρη στη χρήση μιας ευπάθειας zero-day στη λύση κοινής χρήσης αρχείων Fortra GoAnywhere MFT.
Τον Φεβρουάριο, οι προγραμματιστές του GoAnywhere MFT προειδοποίησαν τους πελάτες ότι μια zero-day ευπάθεια επέτρεπε την εκτέλεση κώδικα απομακρυσμένα σε εκτεθειμένα administrative consoles. Η ευπάθεια χρησιμοποιούνταν ήδη από κακόβουλους φορείς.
Το GoAnywhere είναι μια ασφαλής λύση μεταφοράς αρχείων. Επιτρέπει στις εταιρείες να ανταλλάσσουν με ασφάλεια κρυπτογραφημένα αρχεία με τους συνεργάτες τους. Η υπηρεσία διατηρεί λεπτομερή αρχεία καταγραφής σχετικά με το ποιος είχε πρόσβαση στα αρχεία.
Δείτε επίσης: Το Medusa ransomware στοχεύει εταιρείες σε όλο τον κόσμο
Το Black Basta Ransomware εξελίσσεται - Προσοχή!
Καταιγίδες μεγαλύτερες από τη Γη εντοπίστηκαν στον Δία
Black Basta ransomware: Όλες οι νέες τακτικές
Οι προγραμματιστές δεν έδωσαν λεπτομέρειες σχετικά με τον τρόπο εκμετάλλευσης της zero-day ευπάθειας, αλλά σύντομα κυκλοφόρησε ένα proof-of-concept exploit. Ακολούθησε ένα patch για την αντιμετώπιση του σφάλματος.
Την επόμενη μέρα από την κυκλοφορία του GoAnywhere patch, η συμμορία ransomware Clop επικοινώνησε με το BleepingComputer και είπε ότι αυτή βρισκόταν πίσω από τις επιθέσεις που είχαν εκμεταλλευτεί την ευπάθεια.
Οι hackers είπαν ότι χρησιμοποίησαν την ευπάθεια για δέκα ημέρες και κατάφεραν να κλέψουν δεδομένα από 130 εταιρείες. Το BleepingComputer ισχυρίζεται ότι τότε δεν μπορούσε να επιβεβαιώσει τις επιθέσεις, καθώς υπήρχαν μόνο οι ισχυρισμοί της ransomware συμμορίας. Η Fortra δεν είχε κάνει κάποια δήλωση.
Έκτοτε, δύο εταιρείες, η Community Health Systems (CHS) και η Hatch Bank, αποκάλυψαν ότι τα δεδομένα είχαν κλαπεί στα πλαίσια επιθέσεων GoAnywhere MFT.
Δείτε επίσης: Η AI επίθεση BlackMamba αποφεύγει τις προηγμένες λύσεις ασφαλείας EDR
Η ransomware συμμορία Clop εκβιάζει πελάτες GoAnywhere
Η συμμορία ransomware Clop άρχισε να εκμεταλλεύεται τα θύματα των επιθέσεων GoAnywhere προσθέτοντας επτά νέες εταιρείες στον ιστότοπο διαρροής δεδομένων της.
Μόνο ένα από τα θύματα, η Hatch Bank, ξέρουμε σίγουρα ότι παραβιάστηκε μέσω αυτής της ευπάθειας. Ωστόσο, το BleepingComputer έμαθε ότι τουλάχιστον δύο ακόμα εταιρείες παραβιάστηκαν επίσης, μέσω αυτού του zero-day.
Όλες οι καταχωρήσεις στον ιστότοπο διαρροής δεδομένων αναφέρουν ότι η διαρροή των δεδομένων “έρχεται σύντομα”. Υπάρχουν και κάποια screenshots από τα κλεμμένα δεδομένα.
Δείτε επίσης: Η Cerebral μοιράστηκε δεδομένα ασθενών με Meta, Google, TikTok
Επιπλέον, σύμφωνα με το BleepingComputer, τα θύματα έχουν αρχίσει να λαμβάνουν αιτήματα λύτρων από τη συμμορία ransomware Clop. Προς το παρόν, δεν γνωρίζουμε πόσα χρήματα ζητούν οι hackers από τα θύματα, αλλά στο παρελθόν είχαν ζητήσει έως και 10 εκατομμύρια δολάρια σε παρόμοιες επιθέσεις που εκμεταλλεύονταν μια zero-day ευπάθεια στο Accellion FTA.
Οι επιθέσεις Ransomware μπορεί να είναι καταστροφικές για κάθε επιχείρηση, καθώς μπορούν να διαταράξουν γρήγορα τις λειτουργίες, αποκόπτοντας την πρόσβαση σε κρίσιμα δεδομένα και συστήματα που απαιτούνται για τις καθημερινές δραστηριότητες. Τεράστιο πρόβλημα είναι και η καταβολή λύτρων και ο κίνδυνος για διαρροή κλεμμένων δεδομένων! Ευτυχώς, υπάρχουν μέτρα που μπορείτε να λάβετε, όπως η εκπαίδευση των υπαλλήλων σας στον εντοπισμό ύποπτων μηνυμάτων ηλεκτρονικού ταχυδρομείου/συνδέσμων/επισυναπτόμενων αρχείων, οι τακτικές ενημερώσεις εφαρμογών/λειτουργικών συστημάτων, ο έλεγχος ταυτότητας δύο παραγόντων και η χρήση ενός αποτελεσματικού προγράμματος προστασίας από ιούς με ενεργοποιημένη προστασία σε πραγματικό χρόνο – όλα αυτά θα σας βοηθήσουν να ελαχιστοποιήσετε τον κίνδυνο να πέσετε θύμα του Clop και άλλων ransomware!
Πηγή: www.bleepingcomputer.com