Η συμμορία ransomware Clop ισχυρίζεται ότι βρίσκεται πίσω από πρόσφατες επιθέσεις που εκμεταλλεύτηκαν μια ευπάθεια zero-day στο εργαλείο ασφαλούς μεταφοράς αρχείων GoAnywhere MFT, λέγοντας ότι έκλεψαν δεδομένα από περισσότερους από 130 οργανισμούς.
Το ελάττωμα ασφαλείας, τώρα παρακολουθείται ως CVE-2023-0669, επιτρέπει στους εισβολείς να αποκτήσουν απομακρυσμένη εκτέλεση κώδικα σε μη επιδιορθωμένες παρουσίες GoAnywhere MFT με την κονσόλα διαχειριστή τους εκτεθειμένη σε πρόσβαση στο Διαδίκτυο.
Ο Clop είπε ότι φέρεται να είχαν κλέψει τα δεδομένα κατά τη διάρκεια δέκα ημερών μετά την παραβίαση διακομιστών που ήταν ευάλωτοι σε εκμεταλλεύσεις που στόχευαν αυτό το σφάλμα.
Ισχυρίστηκαν επίσης ότι μπορούσαν να μετακινηθούν πλευρικά μέσω των δικτύων των θυμάτων τους και να αναπτύξουν ωφέλιμα φορτία ransomware για να κρυπτογραφήσουν τα συστήματά τους, αλλά αποφάσισαν να μην το κάνουν και έκλεψαν μόνο τα έγγραφα που ήταν αποθηκευμένα στους παραβιασμένους διακομιστές GoAnywhere MFT.
O διευθυντής πληροφοριών Huntress Threat Joe Slowik συνέδεσε τις επιθέσεις GoAnywhere MFT με το TA505, μια ομάδα απειλών γνωστή για την ανάπτυξη του Clop ransomware στο παρελθόν, ενώ ερευνούσε μια επίθεση όπου αναπτύχθηκε το πρόγραμμα λήψης κακόβουλου λογισμικού TrueBot.
“Ενώ οι σύνδεσμοι δεν είναι έγκυροι, η ανάλυση της δραστηριότητας και των μηχανισμών ανάπτυξης του Truebot υποδεικνύει συνδέσμους σε μια ομάδα που αναφέρεται ως TA505. Οι διανομείς μιας οικογένειας ransomware που αναφέρεται ως Clop, που αναφέρουν από διάφορες οντότητες συνδέουν τη δραστηριότητα Silence/Truebot με λειτουργίες TA505”, δήλωσε ο Slowik .
“Με βάση τις παρατηρούμενες ενέργειες και τις προηγούμενες αναφορές, μπορούμε να συμπεράνουμε με μέτρια σιγουριά ότι η δραστηριότητα που παρατήρησε η Huntress είχε σκοπό να αναπτύξει ransomware, με δυνητικά πρόσθετη ευκαιριακή εκμετάλλευση του GoAnywhere MFT να λαμβάνει χώρα για τον ίδιο σκοπό.”