Siber Suçlar, Dolandırıcılık Yönetimi ve Siber Suçlar
Siber suçlular 66 Şirketi Hacklediklerini Söyledi
David Perera (@daveperera) •
24 Aralık 2024
Clop siber suçlu grubu, Cleo Communications tarafından geliştirilen yönetilen dosya aktarım yazılımının toplu olarak hacklenmesiyle ele geçirilen şirketleri kamuoyuna duyurmakla tehdit ediyor.
Ayrıca bakınız: İsteğe Bağlı | 2024 Kimlik Avı Analizleri: 11,9 Milyon Kullanıcı Davranışı Riskiniz Hakkında Neleri Ortaya Çıkarıyor?
Merkezi Rusya’da olduğuna inanılan bir fidye yazılımı şantaj örgütü olan Cl0p olarak da bilinen Clop, bu ayın başlarında Rockford, Illinois merkezli Cleo tarafından geliştirilen Harmony, VLTrader ve LexiCom MFT yazılımını hedef alan toplu saldırıların sorumluluğunu üstlendi (bkz: Clop Fidye Yazılımı, Cleo’nun Toplu Suistimallerinin Sorumluluğunu Üstleniyor).
Karanlık web sızıntı sitesine 24 Aralık’ta yapılan güncellemede Clop, “Cleo kullanan birçok şirketin verilerine” sahip olduğunu ve hacklediği en az 66 şirketin listesini 48 saat içinde yayınlayacağını ileri sürdü. Suç çetesi, isimlerinin ilk beş karakterini yayınladıktan sonra şirketlerle şantaj talimatlarıyla iletişime geçtiğini söyledi.
Cleo, kitlesel sömürü belirtilerinin ardından 11 Aralık’ta kullanıcılara bir yama yayınladı. Bilgisayar korsanlarının, CVE-2024-50623 olarak izlenen yönetilen dosya aktarımındaki sınırsız dosya yükleme güvenlik açığından yararlandığı görüldü; bu güvenlik açığı için Ekim ayında yayınlanan bir yama, görünüşe göre saldırıları tam olarak engellemedi. Rapid7 tarafından yapılan analiz, bilgisayar korsanlarının, hedeflenen sisteme kötü amaçlı bir ana bilgisayar dosyası yazmak ve ardından gerekli kimlik bilgilerini elde etmek ve sistemi bu yazılımı çalıştırmaya zorlamak için CVE-2024-50623’ten yararlanmak için yeni bir dosya yazma güvenlik açığı olan CVE-2024-55956’yı kullanmış olabileceğini öne sürdü. Uzaktan kod yürütmelerine olanak tanıyan kötü amaçlı ana bilgisayar dosyası.
Cleo, müşterilerine en son düzeltmeyi derhal uygulamalarını “şiddetle tavsiye ettiğini” söyledi.
Saldırganların kusurlardan birini veya her ikisini ne kadar süredir kullandığı belirsizliğini koruyor. Arctic Wolf Perşembe günkü blog yazısında, “Kampanya 7 Aralık’ta başladı ve bu makalenin yayınlanmasından itibaren devam ediyor” dedi.
Clop, dosya aktarım yazılımının toplu sıfır gün istismarına yabancı değil. 2023 Anma Günü’nde MOVEit yazılımına karşı dikkatlice hazırlanmış bir saldırı başlattı. Güvenlik firması Emsisoft’un hesaplamalarına göre, MOVEit olayından doğrudan veya dolaylı olarak etkilenen kuruluşların sayısı 2.770’in üzerinde ve 95 milyondan fazla kişiye ait veriler açığa çıktı. 2023’ün başlarında Clop, Fortra’nın yaygın olarak kullanılan yönetilen dosya aktarım yazılımı GoAnywhere MFT müşterilerinin verilerini çalmak için sıfır gün güvenlik açığından yararlanan büyük ölçekli bir saldırı kampanyasının sorumluluğunu üstlendi. Aralık 2020’de küresel saldırılar başlatmak için Accellion Dosya Aktarım Aracındaki sıfır gün kusurlarını kullandı.