Ransomware ఒట్టు క్లియో సాఫ్ట్‌వేర్ పాచెస్‌లో రంధ్రాలు చేస్తుంది, Cl0p (విధంగా) బాధ్యత వహిస్తుంది

సప్లై చైన్ ఇంటిగ్రేషన్ విక్రేత క్లియో తన కస్టమర్‌లను అక్టోబర్ సెక్యూరిటీ అప్‌డేట్ బైపాస్ చేసిన తర్వాత తన మూడు ఉత్పత్తులను అప్‌డేట్ చేయమని కోరింది, ఇది రష్యా-లింక్డ్ Cl0p గ్యాంగ్ తమ దుర్మార్గపు పని అని చెప్పుకునే విస్తృతమైన ransomware దాడులకు దారితీసింది.

రిమోట్ కోడ్ ఎగ్జిక్యూషన్ (RCE)కి దారితీసే అనియంత్రిత ఫైల్ అప్‌లోడ్ మరియు డౌన్‌లోడ్ లోపాన్ని పరిష్కరించడానికి క్లియో తన హార్మొనీ, VLTrader మరియు LexiCom ఉత్పత్తులను ప్యాచ్ చేసినప్పుడు ఈ కథ అక్టోబర్‌లో ప్రారంభమవుతుంది.

కానీ గత వారం infosec హంట్రెస్ దుస్తుల్లో హెచ్చరించారు పాచెస్ బైపాస్ చేయబడిన తర్వాత క్లియో యొక్క ఉత్పత్తులు దాడికి గురయ్యాయని. వేటగాడు పరిశోధకులు సలహా ఇచ్చాడు సామూహిక దోపిడీ జరుగుతోందని, కనీసం పది కంపెనీలు రాజీ పడ్డాయి మరియు పూర్తిగా అతుక్కొని ఉన్న వ్యవస్థలు కూడా దోపిడీకి గురయ్యాయి.

సెక్యూరిటీ స్టోర్ తర్వాత మాల్వేర్ అనే కొత్త స్ట్రెయిన్‌ని గుర్తించింది మాలిక్ అది సమస్యను అన్వేషిస్తుంది.

క్లియో కోరారు కస్టమర్‌లు తమ హార్మొనీ, VLTrader మరియు LexiCom ఉత్పత్తులను వెర్షన్ 5.8.0.21కి అప్‌డేట్ చేయడానికి, విక్రేత CVE-2024-50623 అని క్లెయిమ్ చేసారు.

సాఫ్ట్‌వేర్ విక్రేత కొత్త దుర్బలత్వం కోసం భద్రతా హెచ్చరికను జారీ చేశారు, CVE-2024-55956మరియు హార్మొనీ, VLTrader మరియు LexiCom దృష్టాంతాలను వెర్షన్ 5.8.0.24కి అప్‌డేట్ చేయమని కస్టమర్‌లకు “గట్టిగా సలహా ఇస్తుంది”, ఇది గతంలో నివేదించబడిన క్లిష్టమైన బగ్‌ను పరిష్కరిస్తుంది.

సైబర్‌ సెక్యూరిటీ ప్లాట్‌ఫారమ్ విక్రేత Rapid7 ప్రకారం, CVE-2024-55956 అనేది మునుపటి లోపం, CVE-2024-50623 యొక్క బైపాస్, మరియు దోపిడీ చేయబడింది. “మా బృందం గణన మరియు దోపిడీ అనంతర కార్యకలాపాలను గమనించింది మరియు అనేక సంఘటనలపై దర్యాప్తు చేస్తోంది” అని బెదిరింపు వేటగాళ్ళు చెప్పారు. అని రాశాడు గత వారం.

క్లియో వెంటనే స్పందించలేదు ది రికార్డ్ప్రశ్నలు – ఎంత మంది కస్టమర్‌లు రాజీ పడ్డారు మరియు CVE-2024-50623 మరియు CVE-2024-55956 మధ్య సంబంధం ఏమిటి. ఏవైనా ముఖ్యమైన సమాధానాలు కనిపిస్తే మేము ఈ కథనాన్ని నవీకరిస్తాము.

డిసెంబర్ 13న, US సైబర్ సెక్యూరిటీ అండ్ ఇన్‌ఫ్రాస్ట్రక్చర్ సెక్యూరిటీ ఏజెన్సీ (CISA) జోడించారు క్లియో బగ్ దాని తెలిసిన దోపిడీ దుర్బలత్వాల కేటలాగ్‌లో మరియు ransomware ప్రచారాలలో దుర్వినియోగం చేయబడిందని జాబితా చేసింది. కొంతకాలం తర్వాత, Cl0p నివేదించబడింది పోస్ట్ చేయబడింది దాని డేటా లీక్ వెబ్‌సైట్‌లో ఒక రహస్య సందేశం, దాడులకు బాధ్యత వహిస్తున్నట్లు స్పష్టంగా పేర్కొంది:

నేరస్థులు అందరికీ “నూతన సంవత్సర శుభాకాంక్షలు” కూడా తెలిపారు. అయినప్పటికీ, వారు డౌన్‌లోడ్ చేయదగిన నమూనా డేటాను పోస్ట్ చేయలేదు.

CISA లేదా FBI వెంటనే స్పందించలేదు ది రికార్డ్దాడుల వెనుక ఏ ransomware ముఠా ఉంది మరియు ఎంత మంది బాధితులు రాజీ పడ్డారు అనే ప్రశ్నలు.

Cl0p, ఇష్టం నమోదు పాఠకులు బహుశా గుర్తుంచుకోవాలి, ఇది రష్యాతో ముడిపడి ఉంది ransomware సిబ్బంది ఇది మే 2023లో ప్రోగ్రెస్ సాఫ్ట్‌వేర్ యొక్క MOVEit ఉత్పత్తుల సూట్‌లో కీలకమైన భద్రతా లోపాన్ని ఉపయోగించుకుంది మరియు వేలాది సంస్థల నుండి డేటాను దొంగిలించడానికి ఈ లోపాన్ని ఉపయోగించింది మరియు మిలియన్ల మంది వ్యక్తులు. క్లియో మరియు MOVEit ఉత్పత్తుల మధ్య సారూప్యతల కారణంగా – మరియు MOVEit దాడి ఇప్పటికీ ఉంది బాధితులు పేర్కొంటున్నారు – ఇన్ఫోసెక్ నిపుణులు క్లియో పరిస్థితిని నిశితంగా గమనిస్తున్నారు.

కానీ Cl0p యొక్క వాదనలను ప్రజలు విశ్వసించాలా వద్దా అనే దానిపై జ్యూరీ ఇప్పటికీ లేదు.

నేను బాధితుల నోటిఫికేషన్‌లు మరియు డౌన్‌లోడ్ చేయగల డేటాను చూసే వరకు, నేను బెదిరింపు నటుడి మాటను విశ్వసిస్తానని నాకు ఖచ్చితంగా తెలియదు

“ఈ దాడులను వ్యక్తిగతంగా నిర్వహించింది Cl0p అని మరింత ఖచ్చితమైన రుజువు కోసం నేను ఇంకా ఎదురు చూస్తున్నాను” అని హంట్రెస్‌లోని ప్రధాన భద్రతా పరిశోధకుడు జాన్ హమ్మండ్ అన్నారు. ది రికార్డ్. “నేను బాధితుల నోటిఫికేషన్‌లు మరియు డౌన్‌లోడ్ చేయదగిన డేటాను చూసే వరకు, బెదిరింపు నటుడి మాటను నేను విశ్వసిస్తానని నాకు ఇప్పటికీ తెలియదు.”

అతను క్లియో యొక్క తాజా నవీకరణ రంధ్రాన్ని ప్లగ్ చేస్తుంది. “నాకు తెలిసినంత వరకు, మా ప్రూఫ్-ఆఫ్-కాన్సెప్ట్ అన్వేషణను నిరోధించడంలో 5.8.0.24 విజయవంతమైంది. కొత్తCVE-2024-55956 డిసెంబర్ ఆధారంగా,” హమ్మండ్ చెప్పారు.

అయితే, దోపిడీల వెనుక ఎవరున్నారో చెప్పడానికి ఇది చాలా తొందరగా ఉంది. Cl0p యొక్క సాధారణ పనితో హంట్రెస్ ట్రాక్ చేస్తున్న క్లియో యాక్టివిటీ “పూర్తిగా వరుసలో లేదు” అని హమ్మండ్ జోడించారు: “కాబట్టి నేను ఇప్పటికీ ఊహాజనితంగా ఉన్నాను.”

‘సాక్ష్యం కోసం ఎదురుచూపు’

Cl0p లీక్ సైట్‌లోని సందేశం సమూహం యొక్క ప్రమేయానికి రుజువు కాదని హమ్మండ్ భయపడుతున్నాడు.

“దీని అర్థం వారు క్లియో యొక్క దాడులకు బాధ్యత వహిస్తున్నారా లేదా పాత డేటా మొత్తాన్ని తీసివేయడానికి వారు ఎంచుకున్న ఒక బేసి సమయమా అని నాకు ఖచ్చితంగా తెలియదు” అని హమ్మండ్ చెప్పారు. ది రికార్డ్. “ఒక అవకాశం ఏమిటంటే, వారు కొత్త బాధితులందరినీ పోస్ట్ చేయడానికి మరియు వ్యాపారం ప్రారంభించడానికి సిద్ధమవుతున్నారు, కానీ ప్రస్తుతానికి అదంతా ఊహాగానాలు మాత్రమే.”

Rapid7 సీనియర్ డైరెక్టర్ ఆఫ్ బెదిరింపు విశ్లేషణ క్రిస్టియాన్ బీక్ కూడా తన బృందం Cl0p – లేదా మరేదైనా ఇతర సమూహం – క్లియో ఉత్పత్తులపై దాడులకు పాల్పడినట్లు సూచించే “కాంక్రీట్ సాక్ష్యాలను” చూడలేదని చెప్పారు. “అయితే, MOVEit మరియు అక్సిలియన్ FTA 2021లో,” అని అతను చెప్పాడు ది రికార్డ్.

“Cl0p సాధారణంగా స్వచ్ఛమైన జీరో-డే గొలుసులు లేదా దుర్బలత్వాలను ఉపయోగిస్తుంది,” బీక్ జోడించారు. “ఇది ఒక ‘అపరిశుభ్రమైన’ గొలుసు, ఎందుకంటే Cl0p దీన్ని ఉపయోగించడం ప్రారంభించే ముందు దుర్బలత్వాలలో ఒకటి పాచ్ చేయబడింది మరియు సమర్థవంతంగా దోపిడీ చేయబడింది – మనకు తెలిసినంత వరకు.”

మరియు క్లియో ఉత్పత్తులను ఎవరు లేదా ఏది దుర్వినియోగం చేస్తున్నారో ఎవరూ (నేరస్థులు కాకుండా, Cl0p కావచ్చు లేదా కాకపోవచ్చు) స్వతంత్రంగా ధృవీకరించనప్పటికీ, బ్లాక్ కైట్ అధిపతి ఫెర్హాట్ డిక్బియిక్ ప్రకారం, వ్యూహాలు Cl0p యొక్క కార్యనిర్వహణ పద్ధతికి అనుగుణంగా ఉన్నట్లు కనిపిస్తున్నాయి. పరిశోధన మరియు గూఢచార అధికారి.

“ఇది Cl0p యొక్క సాధారణ నమూనాతో సమలేఖనం చేస్తుంది: పెద్ద-స్థాయి దుర్బలత్వాన్ని ఉపయోగించుకోండి, ప్రారంభ బాధితులతో తెలివిగా చర్చలు జరపండి, ఆపై అదనపు ఒత్తిడిని వర్తింపజేయడానికి దాని ప్రచారాన్ని బహిరంగంగా ప్రకటించండి” అని డిక్బియిక్ చెప్పారు. ది రికార్డ్. “MOVEitపై మీ మునుపటి దాడుల ఆధారంగా మరియు ఎక్కడికైనా వెళ్లుఒకటి నుండి రెండు వారాల్లో బాధితుల పేర్లు కనిపించడం ప్రారంభమవుతాయని మేము ఆశించవచ్చు.” ®