La semana pasada, se lanzó el editor de Huntress de MDR (Detección y respuesta administrada) Una alerta sobre ataques basados ​​en el software de transferencia de archivos clave. Las vulnerabilidades críticas habían descubierto luego en varias soluciones (Harmony, Vltrader y Lexicom) del editor. Hoy, el grupo de clop de ransomware ha confirmado a nuestros colegas de Bleeping Compompt que estaba en el origen de los recientes ataques de vuelo de datos.

En un mensaje, explica "con respecto a Cleo, fue nuestro proyecto (incluida la clave anterior), que se llevó a cabo". Y para enfatizar que "los datos robados de servicios gubernamentales, instituciones, medicina, los eliminamos de inmediato y sin dudarlo". Una bondad del alma que el grupo ya había mostrado durante los ataques a través de Moveit (otro software de transferencia de archivos que había causado mucho daño). Para el registro, el Gang Clop Alias ​​Ta505 y CL0P, comenzaron en marzo de 2019, cuando comenzó a atacar a las compañías usando una variante de ransomware Cryptomix. Se especializó en ataques a través de sistemas de transferencia de archivos como Accelion TLC en 2020 o Goanywhere en 2023.

¿Un defecto crítico o dos vulnerabilidades distintas?

Como parte de Cleo, usó fallas CVE-2024-50623 y CVE-2024-55956. El primero fue publicado en octubre por el editor y causó descargas sin restricciones, lo que llevó a la ejecución de código remoto. Esta vulnerabilidad se corrigió en las versiones 5.8.0.21 de los diversos software en cuestión. En una opinión, alertó sobre el hecho de que "la falla se usó para instalar una puerta trasera en cierta armonía, vltrader y instancias léxicas en forma de una plantilla de marca libre maliciosa". Sin embargo, la alerta no se ha escuchado hasta que la cazadora de la compañía a su vez advirtió sobre los ataques a través de Otra falla, el CVE-2024-55956.

Con respecto a este último, algunos analistas consideraron que era un bypass del CVE-2024-50623. Para Rapid7, si los dos agujeros de seguridad son vulnerabilidades para escribir archivos no autenticados, "el CVE-2024-55956 no es un desvío de la corrección CVE-2024-50623, sino una nueva vulnerabilidad". Por su parte, la CISA (Agencia Americana para Sistemas de Información) lanzó una alerta sobre la explotación de fallas sin proporcionar más detalles.