Хакеры Clop снова вышли на связь: что произойдёт 18 января?

Хакерская группа Clop заявила о компрометации данных 59 компаний, воспользовавшись уязвимостью в продуктах Cleo для передачи файлов. Злоумышленники разместили информацию о жертвах на своём сайте в даркнете, предложив компаниям связаться с ними для переговоров. В противном случае они опубликуют всю украденную информацию 18 января.

Впервые о взломе стало известно в середине декабря, когда Clop проникла в системы Cleo, однако тогда масштаб атаки не был понятен полностью. При этом 59 компаний — это явно не полный список жертв, так как ранее хакеры уже выдвигали ультиматум 66 компаниям. Вероятно, хакерам удалось договориться с кем-то из жертв, в связи с чем они были скрыты из списка утечек.

Тем временем, уязвимость CVE-2024-50623 с уровнем опасности 8.8 по CVSS, с помощью которой и была осуществлена компрометация, была включена представителями CISA в каталог известных эксплуатируемых уязвимостей (KEV).

Проблема связана с отсутствием ограничений на загрузку и скачивание файлов, что позволяет выполнять удалённый код на уязвимых системах. Под угрозой оказались продукты LexiCom, Harmony и VLTrader до версии 5.8.0.21.

Cleo выпустила патч, призвав клиентов немедленно обновить программное обеспечение до версии 5.8.0.21. Однако исследователи из компании Huntress выявили, что даже полностью обновлённые системы остаются уязвимыми. Эксперты зафиксировали массовую эксплуатацию уязвимости и обширную постэксплуатационную активность.

Хакеры Clop утверждают, что многие организации проигнорировали их попытки связаться, и угрожают опубликовать украденные данные 18 января 2025 года. Среди упомянутых компаний — крупные бренды, такие как Hertz. Однако представители Hertz заявили, что пока не обнаружили признаков утечки данных или взлома их систем.

Ранее Clop уже проводила успешные атаки на программное обеспечение для передачи файлов, эксплуатируя уязвимости в MOVEit Transfer, GoAnywhere, Serv-U и Accellion FTA, что подтверждает их высокую активность в этой сфере.