Группа вымогателей Clop продолжает использовать уязвимости для атаки на важные системы. Компания Cleo, поставщик управляемой передачи файлов для предприятий, подверглась нападению Clop, и в центре внимания находятся две критические уязвимости - CVE-2024-50623 и CVE-2024-55956.
Clop Ransomware
Первая уязвимость позволяет загружать и скачивать файлы без ограничений, что может привести к удаленному выполнению кода. Вторая уязвимость позволяет неаутентифицированным пользователям выполнять команды Bash или PowerShell в системе. Эти уязвимости были использованы Clop для получения несанкционированного доступа и нарушения работы в различных отраслях, особенно в финансовом секторе и государственных учреждениях.
Imperva обнаружила более 1 миллиона попыток эксплуатации этих уязвимостей на почти 10 000 веб-сайтах в 60 странах. Отрасли финансовых услуг и государственных учреждений были основными целями атак, а инструменты на базе Go использовались для автоматизации атак.
Анализ полезной нагрузки показал, что злоумышленники пытались записать файлы на целевую систему с помощью сценария PowerShell. Далее, сценарий обращается к внешнему IP-адресу и извлекает JAR-файлы, которые затем хранятся на сервере и удаляются злоумышленниками в попытке оставаться незамеченными.
Clop проявляет настойчивость, используя легитимные системные инструменты или изменяя системные конфигурации, чтобы обеспечить повторный запуск полезной нагрузки. Кроме того, Clop атакует системы резервного копирования, чтобы жертвы не могли восстановить свои данные без уплаты выкупа. После зашифровки файлов Clop также угрожает опубликовать или продать украденные данные в случае отказа от оплаты выкупа.
Indicators of Compromise
IPv4
- 103.140.62.43
- 146.190.133.67
- 162.240.110.250
- 213.136.77.58
