A gangue de ransomware Cl0p está ameaçando divulgar, até o dia 18 deste mês, dados de 59 empresas que foram comprometidas durante um ataque à plataforma de transferência de arquivos Cleo. A ameaça permanece caso as vítimas não iniciem negociações de resgate até amanhã, 17 de janeiro. A declaração foi publicada no blog de vazamentos do grupo, que também listou as vítimas notificadas, alegando que muitas ignoraram os avisos.
Leia também
Um Telecom anuncia subsidiária de data centers
Uso de nuvem desafia equipes de cyber
Os ataques foram realizados em dezembro e exploraram duas vulnerabilidades zero-day nos softwares Cleo Harmony, Cleo VLTrader e Cleo LexiCom. Entre os nomes listados pelos cibercriminosos estão grandes empresas e organizações, incluindo o Western Alliance Bank, Hertz, Chicago Public Schools, Nissin Foods e SDI Technologies.
Pesquisadores da Mandiant descobriram que essa exploração já ocorria em outubro de 2023 e identificaram implantações de backdoors em sistemas comprometidos. Embora inicialmente não houvesse evidências de uma exfiltração de dados em larga escala, a Cleo corrigiu as vulnerabilidades e orientou seus 4.200 clientes globais a atualizarem para versões mais seguras.
O ataque é semelhante às campanhas anteriores do Cl0p, como os ataques ao MOVEit e GoAnywhere, que usaram táticas de extorsão e vazamento gradual de informações. Os ataques ao MOVEit, por exemplo, impactaram mais de 2.600 organizações e 90 milhões de pessoas, gerando um lucro estimado entre US$ 75 milhões e US$ 100 milhões para o grupo.
As empresas afetadas pela violação da Cleo foram orientadas a atualizar seus sistemas e revisar as práticas de segurança para mitigar os impactos e evitar novas ameaças. A situação destaca a importância de correções rápidas e medidas proativas contra ataques de ransomware.