Группа вымогателей Clop начала шантажировать свои жертвы после атаки с использованием уязвимости в ПО Cleo, опубликовав в даркнете список из 66 компаний, которым был предоставлен 48-часовой срок для ответа на требования о выкупе. Киберпреступники заявили о прямом контакте с компаниями, предоставив ссылки на защищенный канал связи для переговоров о выкупе, а также контактные email-электронные адреса. Об этом сообщает издание BleepingComputer.
В своем уведомлении в даркнете Clop опубликовала частичные названия 66 компаний, которые не вышли на связь с хакерами. В случае игнорирования угроз, хакеры угрожают раскрыть полные имена компаний через 48 часов. Группа подчеркнула, что список включает только тех, кто не ответил на сообщения, подразумевая, что общее число пострадавших может быть больше.
Атака Clop, которая использовала уязвимость нулевого дня (CVE-2024-50623) в продуктах Cleo LexiCom, VLTransfer и Harmony, стала очередным крупным успехом для группировки. Эта уязвимость позволяет удаленному злоумышленнику загружать и выгружать файлы без ограничений, что приводит к удаленному выполнению кода.
Исследовательская группа Huntress ранее публично предупреждала об активной эксплуатации этой уязвимости и возможности обхода патча, представив даже proof-of-concept (PoC) эксплойт. Clop подтвердила свою причастность к атаке с использованием уязвимости CVE-2024-50623.
Исследователь Macnica, Ютака Седзияма, отметил, что даже по неполным названиям компаний, опубликованным Clop, можно идентифицировать некоторых жертв, сопоставляя подсказки хакеров с данными о владельцах серверов Cleo, доступных в публичном интернете.
Точное количество скомпрометированных компаний пока неизвестно, но Cleo заявляет, что ее программное обеспечение используется более чем 4000 организациями по всему миру.
