El notorio grupo de ransomware Clop ha intensificado sus actividades extorsivas, anunciando en su portal de la dark web que 66 empresas, víctimas del ataque de robo de datos Cleo, tienen 48 horas para responder a sus demandas.
El Aviso de Clop: Contacto Directo y Advertencias Públicas
Clop ha informado que está contactando directamente a las empresas afectadas, proporcionando enlaces a canales de chat seguros para negociar el pago del rescate. Además, los ciberdelincuentes han compartido direcciones de correo electrónico para que las víctimas puedan comunicarse con ellos de manera proactiva.
En su sitio de filtraciones, el grupo publicó nombres parciales de las 66 empresas que aún no han respondido a sus intentos de comunicación. Advirtieron que, de no recibir respuesta, revelarán los nombres completos de las compañías en las próximas 48 horas.
Ataque Cleo: Otro Gran Logro para Clop
Este ataque representa un nuevo éxito para Clop, quienes explotaron una vulnerabilidad de día cero en los productos Cleo LexiCom, VLTrader y Harmony. A través de esta brecha, lograron robar datos de las redes de las empresas afectadas.
En el pasado, Clop ha utilizado tácticas similares para comprometer plataformas de transferencia de archivos seguras como Accellion FTA, GoAnywhere MFT y MOVEit Transfer. También estuvo detrás de una serie de ataques dirigidos a compañías que utilizaban SolarWinds Serv-U FTP.
CVE-2024-50623: La Vulnerabilidad Exploitable
La vulnerabilidad explotada en esta ocasión, identificada como CVE-2024-50623, permite a los atacantes realizar cargas y descargas de archivos sin restricciones, lo que puede derivar en la ejecución remota de código malicioso.
Cleo ya lanzó un parche de seguridad para sus productos Harmony, VLTrader y LexiCom en la versión 5.8.0.21, advirtiendo que los hackers estaban explotando esta falla para abrir shells inversos en redes comprometidas.
Sin embargo, investigadores de Huntress alertaron recientemente que el parche puede ser vulnerado, presentando un exploit como prueba de concepto para respaldar sus hallazgos.
El Enfoque de Clop: Extorsión con Datos Frescos
En un comunicado, Clop confirmó su responsabilidad en la explotación de CVE-2024-50623 y declaró que ha eliminado de su plataforma los datos de ataques anteriores, enfocándose en esta nueva ola de extorsión.
Investigadores como Yutaka Sejiyama han señalado que es posible identificar algunas víctimas con solo cruzar los nombres parciales publicados por Clop con los servidores Cleo expuestos públicamente en la web.
Impacto Potencial: Miles de Empresas en Riesgo
Aunque el número total de empresas comprometidas en esta última ola de ataques aún es desconocido, Cleo asegura que su software es utilizado por más de 4,000 organizaciones en todo el mundo. Esto sugiere que el alcance de este incidente podría ser significativo.
Conclusión
La última ofensiva de Clop pone de manifiesto la necesidad de una vigilancia continua y medidas proactivas de ciberseguridad, especialmente para las organizaciones que utilizan herramientas críticas como las plataformas de transferencia de archivos. Las empresas deben garantizar que sus sistemas estén actualizados y que cuenten con estrategias sólidas para responder a incidentes cibernéticos.