Kötü şöhretli CL0P fidye yazılımı grubu, telekomünikasyon ve sağlık hizmetleri gibi kritik sektörleri hedefleyen 2025 başında operasyonlarını yoğunlaştırmıştır.
Sofistike taktikleri ile tanınan grup, sistemlere sızmak, hassas verileri çalmak ve zorlu kurbanları çalmak için sıfır gün güvenlik açıklarından yararlandı.
Bu yeniden diriliş, CL0P’nin 384 ihlal ile meşhur 2023 kampanyasına kıyasla sadece 27 kurban listelediği nispeten daha sessiz bir 2024’ü takip ediyor.
Sadece Şubat ayında, 80’den fazla saldırı CL0P’ye atfedildi ve büyük ölçekli kampanyalara odaklanmasının altını çizdi.
Grubun en son etkinlikleri arasında, küresel olarak kuruluşları tehlikeye atmak için CLEO ürünleri gibi yaygın olarak kullanılan yazılım platformlarındaki güvenlik açıklarından yararlanmak yer alıyor.
CVE-2024-50623 olarak izlenen güvenlik açığı, uzaktan dosya yüklemelerine ve indirmelere izin vererek yetkisiz erişim ve veri hırsızlığına yol açtı.
Etkilenen sistemler için piyasaya sürülmesine rağmen, siber güvenlik uzmanları bu düzeltmelerin atlanabileceği konusunda uyarıyor.
Cleo ihlali yeni saldırı dalgası kıvılcım
Aktivitedeki bu artış için önemli bir katalizör, Aralık 2024’ün sonlarında CLEO ihlali oldu.
CL0P, Cleo Lexicom, Vltrader ve Harmony ürünlerinde çok sayıda kuruluştan duyarlı verileri yaymak için sıfır günlük bir güvenlik açığından yararlandı.
Bu ihlalin ardından grup, 48 saat içinde fidye ödemeleri talep eden Veri Sızıntısı Sitesinde (DLS) 66 şirket listeledi.
Buna uyulmaması, mağdurların kimliklerinin ve çalınan verilerin halka açıklanmasına neden olacaktır.
CLEO ihlali, grubun yaygın olarak kullanılan kurumsal yazılımlarda güvenlik açıklarından yararlanma yeteneğini vurgulamakta ve dünya çapında binlerce kuruluşu etkilemektedir.
Siber güvenlik araştırmacısı Yutaka Sejiyama’ya göre, CL0P tarafından açıklanan kısmi şirket isimleri, kurbanları tanımlamak için açıkta kalan CLEO sunucuları ile çapraz referans verilebilir.
Cyberint’e göre, bu taktik fidye taleplerini karşılama konusundaki kuruluşlar üzerindeki baskıyı artırıyor.
Taktikler ve etki
CL0P’nin operasyonları iyi kurulmuş bir “çalma, şifreleme ve sızıntı” paternini takip eder.
Güvenlik açıkları veya kimlik avı kampanyaları aracılığıyla erişim sağladıktan sonra, grup fidye yazılımlarını dağıtmadan önce değerli verileri tanımlamak için keşif yapar.
Şifreleme aşaması, kritik hizmetlerin durdurulmasını ve Windows araçlarını kullanarak yedekleme dosyalarını silmeyi içerir. vssadmin.exe Ve taskkill.exe.
Şifrelenmiş dosyalar gibi uzantılarla işaretlenir. .Clop veya .Cl0pfidye notları eşliğinde, püskürtülmüş verileri ve müzakere talimatlarını detaylandıran notlar.
Grubun sızıntı sitesi, uyumlu olmayan kurbanları yayınlamak ve çalıntı verileri kademeli olarak serbest bırakmak için bir platform görevi görür.
Son aylarda, CL0P geleneksel sızıntı alanlarından torrent tabanlı dağıtım yöntemlerine geçti ve yetkililerin operasyonlarını bozma çabalarını karmaşıklaştırdı.
.webp)
Telekom ve sağlık sektörleri, birbirine bağlı sistemlere ve hassas verilere olan güvenleri nedeniyle özellikle savunmasızdır.
Sağlık kuruluşları, fidye yazılımı saldırıları hasta bakımını bozabilir ve tıbbi kayıtları tehlikeye atabilir.
Benzer şekilde, telekom şirketleri kapsamlı müşteri veritabanları ve kritik altyapıları için hedeflenmektedir.
CL0P’nin yeniden canlanması, fidye yazılımı gruplarının sıfır gün güvenlik açıklarından yararlanan gelişen tehdit manzarasını göstermektedir.
Kuruluşlar, riskleri azaltmak için sağlam yama yönetimine, uç nokta izlemeye ve felaket kurtarma planlamasına öncelik vermelidir.
CL0P büyük ölçekli kampanyalarına devam ederken, siber güvenlik uzmanları tüm endüstrilerde uyanıklık ihtiyacını vurgulamaktadır.
Free Webinar: Better SOC with Interactive Malware Sandbox for Incident Response, and Threat Hunting - Register Here