Die produktive Clop-Ransomware-Bande hat Dutzende Unternehmensopfer benannt, die sie angeblich in den letzten Wochen gehackt hat, nachdem sie eine Schwachstelle in mehreren beliebten Dateiübertragungsprodukten des US-Softwareunternehmens Cleo ausgenutzt hatte.
In einem von Tech eingesehenen Beitrag auf ihrer Dark-Web-Leak-Site listete die mit Russland verbundene Clop-Bande 59 Organisationen auf, die sie angeblich durch Ausnutzung des hochriskanten Fehlers in Cleos Software-Tools angegriffen hat.
Der Fehler betrifft die Produkte LexiCom, VLTransfer und Harmony von Cleo. Cleo enthüllte die Schwachstelle erstmals in einem Sicherheitshinweis vom Oktober 2024, bevor Sicherheitsforscher Monate später im Dezember beobachteten, wie Hacker die Schwachstelle massenhaft ausnutzten.
Clop behauptete in seinem Beitrag, dass es die Organisationen, in die es verstoßen habe, benachrichtigt habe, die Opferorganisationen jedoch nicht mit den Hackern verhandelt hätten. Clop droht damit, die angeblich am 18. Januar gestohlenen Daten zu veröffentlichen, sofern seine Lösegeldforderungen nicht bezahlt werden.
Dateiübertragungstools für Unternehmen sind ein beliebtes Ziel von Ransomware-Hackern – und insbesondere von Clop – angesichts der häufig in diesen Systemen gespeicherten sensiblen Daten. In den letzten Jahren nutzte die Ransomware-Bande zuvor Schwachstellen im MOVEit Transfer-Produkt von Progress Software aus und machte sich später die massenhafte Ausnutzung einer Schwachstelle in der verwalteten Dateiübertragungssoftware GoAnywhere von Fortra zunutze.
Nach seinem jüngsten Hackerangriff hat mindestens ein Unternehmen einen Einbruch im Zusammenhang mit Clops Angriffen auf Cleo-Systeme bestätigt.
Der deutsche Produktionsriese Covestro teilte Tech mit, dass er von Clop kontaktiert worden sei und bestätigte seitdem, dass die Bande auf bestimmte Datenspeicher auf seinen Systemen zugegriffen habe.
„Wir haben bestätigt, dass es einen unbefugten Zugriff auf einen US-Logistikserver gab, der zum Austausch von Versandinformationen mit unseren Transportdienstleistern verwendet wird“, sagte Covestro-Sprecher Przemyslaw Jedrysik in einer Erklärung. „Als Reaktion darauf haben wir Maßnahmen ergriffen, um die Systemintegrität sicherzustellen, die Sicherheitsüberwachung zu verbessern und Kunden proaktiv zu benachrichtigen.
Jedrysik bestätigte, dass „der Großteil der auf dem Server enthaltenen Informationen nicht vertraulicher Natur war“, lehnte es jedoch ab, zu sagen, auf welche Arten von Daten zugegriffen wurde.
Andere mutmaßliche Opfer, mit denen Tech gesprochen hat, haben Clops Behauptungen bestritten und erklärt, sie seien nicht im Rahmen der jüngsten Massen-Hack-Kampagne der Bande kompromittiert worden.
Emily Spencer, eine Sprecherin des US-Autovermietungsriesen Hertz, sagte in einer Erklärung, dass dem Unternehmen Clops Behauptungen „bewusst“ seien, es jedoch „keine Beweise dafür gebe, dass Hertz-Daten oder Hertz-Systeme derzeit beeinträchtigt seien“.
„Aus größter Vorsicht beobachten wir diese Angelegenheit weiterhin aktiv mit Unterstützung unseres externen Cybersicherheitspartners“, fügte Spencer hinzu.
Christine Panayotou, eine Sprecherin von Linfox, einem australischen Logistikunternehmen, das Clop auf seiner Leak-Site aufgeführt hat, bestritt die Behauptungen der Bande ebenfalls und sagte, das Unternehmen verwende keine Cleo-Software und habe „keinen Cyber-Vorfall mit seinen eigenen Systemen erlebt“.
Auf die Frage, ob Linfox aufgrund eines Cybervorfalls mit Beteiligung eines Dritten auf Daten zugegriffen habe, antwortete Panayotou nicht.
Sprecher von Arrow Electronics und Western Alliance Bank teilten Tech außerdem mit, dass sie keine Beweise dafür gefunden hätten, dass ihre Systeme kompromittiert worden seien.
Clop listete auch den kürzlich angegriffenen Software-Lieferkettengiganten Blue Yonder auf. Das Unternehmen, das einen Ransomware-Angriff im November bestätigte, hat dies getan Die Seite zu Cybersicherheitsvorfällen wurde nicht aktualisiert seit dem 12. Dezember.
Bei der letzten Kontaktaufnahme durch Tech bestätigte die Sprecherin von Blue Yonder, Marina Renneke, am 26. Dezember, dass das Unternehmen „Cleo zur Unterstützung und Verwaltung bestimmter Dateiübertragungen nutzt“ und dass es jeden möglichen Zugriff untersucht, fügte jedoch hinzu, dass das Unternehmen „keinen Grund hat, an das zu glauben.“ Die Cleo-Sicherheitslücke steht im Zusammenhang mit dem Cybersicherheitsvorfall, den wir im November erlebt haben.“ Das Unternehmen legte diese Woche weder Beweise für die Behauptung noch einen neueren Kommentar vor.
Auf die Frage von Tech gab keines der antwortenden Unternehmen an, ob es über die technischen Mittel wie Protokolle verfüge, um den Zugriff oder die Exfiltration seiner Daten zu erkennen.
Tech hat noch keine Antworten von den anderen auf der Leak-Site von Clop aufgeführten Organisationen erhalten. Clop behauptet, dass es am 21. Januar weitere Opferorganisationen zu seiner Dark-Web-Leak-Site hinzufügen wird.
Es ist noch nicht bekannt, wie viele Unternehmen ins Visier genommen wurden, und Cleo – das selbst als Opfer von Clop aufgeführt wurde – antwortete nicht auf die Fragen von Tech.