Cl0p Ransomware Group to Name Over 60 Victims of Cleo Attack
2024/12/26 SecurityWeek — エンタープライズ・ソフトウェア・ベンダー Cleo のファイル転送製品の脆弱性を悪用する、Cl0p ランサムウェア・グループは、最近にハッキングした 60以上の組織を、まもなく公表する予定だという。12月中旬に発生した Cleo 攻撃について Cl0p は犯行を主張し、このキャンペーンの一環として、かなり多くのターゲットを攻撃したと、SecurityWeek に語っていた。
現時点において、このランサムウェ・アグループは Tor ベースの Web サイトで侵害先をリストアップし、被害者に対して連絡を取っているとのことだ。彼らは、シークレット・チャットへのアクセスを提供し、システムからデータを盗み出した証拠を示しているという。
これまでに名前が挙がっている被害者は、サプライチェーン管理ソフトウェア・プロバイダー Blue Yonder の1社だけである。Cl0p の Web サイトには、60社を超える企業名の一部が記載されており、身代金を支払わない限り、12月30日に正式名称が明らかにすると述べている。
Clop は、「これらの被害者は無視というスタンスを続けており、最後のチャンスを与えている」と述べている。
Starbucks などの大手食品チェーンに被害を及ぼした Blue Yonder 攻撃は、Cleo の脆弱性を悪用して実行されたと疑われている。
その一方で、Termite という新しいランサム・ウェア グループが、Blue Yonder 攻撃の犯行を表明しており、Cleo 攻撃を背後で操るのは Termite だという疑いも生じている。つまり、Cl0p と Termite にある、繋がりが裏付けられている。
この Cl0p による最新の投稿は、サイバー犯罪者からの連絡を、Blue Yonder が無視していることを示唆する。
Cleo による攻撃は、Harmony/VLTrader/LexiCom ファイル転送ツールに影響を及ぼす、2件の脆弱性を悪用するものだ。すでに Harmony/VLTrader/LexiCom のバージョン 5.8.0.24 では、この2件の脆弱性 CVE-2024-50623/CVE-2024-55956 は修正されている。
この脆弱性を悪用する未認証の攻撃者は標的のシステムからファイルを盗み出しているが、CVE-2024-55956 に関しては、ゼロデイとして悪用されたようである。この脆弱性を悪用する攻撃は、12月3日以降に確認されている。
なお、Cleo の脆弱性の存在が明らかになった以降において、他の脅威グループも、この脆弱性を悪用している可能性が生じている。
Cleo には 4,000社を超える顧客があり、そのファイル転送製品の何百ものインスタンスが、インターネット上に公開されているようだ。
2024年に注目を集めた MOVEit キャンペーンにも、Cl0p は関与しているとされる。この Cl0p のキャンペーンでは、MOVEit ファイル転送ソフトウェアのゼロデイが悪用され、何千もの組織から情報が盗み出された。
Cleo の脆弱性の悪用する、Clop の攻撃が注目を集めています。当初の予測よりも、被害の件数は多いようであり、近々に 60社のリストが公表されるとのことです。よろしければ、以下のリストを ご参照ください。
2024/12/15:Cleo の脆弱性 CVE-2024-50623 の悪用:Clop の犯行が濃厚
2024/12/12:Cleo の脆弱性 CVE-2024-50623:洗練された Java バックドア
2024/12/10:Cleo の脆弱性 CVE-2024-50623 の積極的な悪用:PoC が公開
IoT OT Security News 
You must be logged in to post a comment.