Luki w zabezpieczeniach oprogramowania Cleo
Grupa hakerska Clop, powiązana z Rosją, wykorzystała lukę w popularnych narzędziach do przesyłania plików amerykańskiej firmy Cleo. Luka dotyczyła produktów Cleo LexiCom, VLTransfer oraz Harmony i została pierwotnie ujawniona przez producenta w październiku 2024 roku. Mimo to, do masowych ataków doszło dopiero w grudniu.
Na stronie w darknecie, Clop opublikował nazwiska 59 korporacji, które miały paść ofiarą ataków. Jak twierdzi grupa, wszystkie te organizacje zostały poinformowane o naruszeniach, jednak żadna nie podjęła negocjacji. Hakerzy zapowiedzieli, że jeśli okupu nie otrzymają do 18 stycznia, dane zostaną ujawnione publicznie.
Przykłady wykorzystania luk w systemach przesyłania plików przez Clopa były już wcześniej znane. Gang ten przypisał sobie odpowiedzialność za ataki na oprogramowanie MOVEit Transfer firmy Progress Software oraz GoAnywhere firmy Fortra.
W wyniku ostatnich ataków co najmniej jedna firma potwierdziła włamanie. Niemiecki gigant przemysłowy Covestro poinformował o dostępie hakerów do ich serwera logistycznego w Stanach Zjednoczonych.
Rzecznik Covestro, Przemysław Jedrysik, w oświadczeniu przekazał: „Potwierdziliśmy, że doszło do nieautoryzowanego dostępu do serwera logistycznego w USA, który służy do wymiany informacji o wysyłce z naszymi dostawcami usług transportowych. W odpowiedzi podjęliśmy działania w celu zapewnienia integralności systemu, zwiększenia monitorowania bezpieczeństwa i proaktywnego powiadamiania klientów.”
Jednocześnie firma zaznaczyła, że większość informacji na serwerze nie miała poufnego charakteru. Covestro nie ujawniło jednak, jakie dane zostały naruszone.
Inne firmy wymienione przez Clopa, takie jak Hertz czy Linfox, zaprzeczyły, jakoby ich systemy zostały naruszone. Hertz, reprezentowany przez Emily Spencer, stwierdził, że nie ma dowodów na jakiekolwiek włamanie, jednak firma „nadal aktywnie monitoruje sprawę”. Linfox z kolei podkreślił, że w ogóle nie używa oprogramowania Cleo.
Wnioski i niepewność
Ataki ransomware stały się jednym z największych wyzwań dla współczesnych przedsiębiorstw. Narzędzia do przesyłania plików, ze względu na przechowywane w nich poufne informacje, stanowią atrakcyjny cel dla hakerów.
Firma Cleo, która sama została wymieniona jako jedna z ofiar Clopa, nie odpowiedziała na pytania dotyczące incydentu. Podobnie TechCrunch wciąż czeka na odpowiedzi od części organizacji, które pojawiły się na liście w darknecie.
Gang Clop zapowiedział, że 21 stycznia lista poszkodowanych firm zostanie poszerzona. Nie wiadomo, ile z tych organizacji faktycznie padło ofiarą ataku, a brak dowodów technicznych, takich jak logi dostępu czy raporty z eksfiltracji danych, utrudnia weryfikację tych twierdzeń.
W obliczu zagrożeń związanych z ransomware konieczne jest podejmowanie natychmiastowych działań w zakresie ochrony danych i wzmacniania zabezpieczeń systemów. Przypadek Cleo oraz reakcje firm pokazują jednak, że skuteczność takich działań pozostaje wyzwaniem.
Podsumowanie: Głośny atak Clopa ujawnia słabości systemów przesyłania plików i znaczenie odpowiednich działań w zakresie cyberbezpieczeństwa. W obliczu groźby ujawnienia danych wiele firm wciąż zmaga się z brakiem jasnych odpowiedzi na pytania o skalę i skutki incydentu.
