Группа программ-вымогателей Clop продемонстрировала свое мастерство в использовании уязвимостей для компрометации конфиденциальных систем. Недавняя атака на компанию Cleo, предоставляющую услуги по управляемой передаче файлов для бизнеса, выявила две критические уязвимости: CVE-2024-50623 и CVE-2024-55956.
Критические уязвимости
Уязвимости, обнаруженные в программном обеспечении Cleo, представляют собой серьезную угрозу:
- CVE-2024-50623: обеспечивает неограниченную загрузку файлов, что может привести к удаленному выполнению кода.
- CVE-2024-55956: позволяет пользователям без проверки подлинности выполнять команды Bash или PowerShell в системе.
Если эти уязвимости не будут устранены, злоумышленники смогут извлекать данные и выполнять вредоносный код, что уже произошло в случае с Clop.
Глобальное распространение атак
С момента раскрытия уязвимостей, количество попыток их эксплуатации значительно возросло. Им замечено более 1 миллиона инцидентов, охватывающих почти 10 000 сайтов в 60 странах, включая США и Австралию. Основными целями злоумышленников стали:
- Финансовые службы
- Государственный сектор
Злоумышленники использовали автоматизированные атаки и инструменты на базе Go для доступа к системам.
Стратегия атак Clop
Анализ показал, что атаки Clop начинаются с загрузки файлов-дропперов, которые выполняют сценарии PowerShell, взаимодействуя с внешними IP-адресами для получения вредоносных файлов JAR. Эти файлы затем удаляются, что позволяет злоумышленникам оставаться незамеченными и сохранять контроль над системой.
«Устойчивость имеет решающее значение при атаках программ-вымогателей, позволяя злоумышленникам сохранять контроль даже после обнаружения первоначальной точки входа», — отмечают эксперты.
Финансовые последствия
Группа Clop требует оплату в криптовалюте, обещая предоставить ключ для расшифровки данных. Однако жертвы часто сталкиваются с неопределенностью в восстановлении после выполнения платежей. Кроме того, Clop известна тем, что перед шифрованием извлекает конфиденциальные данные и угрожает их раскрытием.
Необходимость активного управления уязвимостями
В 2023 году группа Clop уже нацелилась на уязвимости в других программах передачи файлов, таких как GoAnywhere MFT и MOVEit, что привело к атакам на более 130 организаций и принесло им более 75 миллионов долларов в результате кражи данных и выкупа.
Неоднократные успешные атаки подчеркивают необходимость активного управления уязвимостями в организациях. Своевременное исправление известных уязвимостей, таких как CVE-2024-50623 и CVE-2024-55956, критически важно для снижения рисков.
Imperva продолжает помогать заказчикам защищать свои критически важные системы от новых угроз, используя передовые решения для обнаружения и предотвращения атак. Инцидент с Cleo подчеркивает важность надежных мер безопасности и упреждающих стратегий устранения уязвимостей для борьбы с киберугрозами.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Уязвимости Cleo: угроза атак программ-вымогателей Clop".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.