Clop Ransomware Çetesi Çok Sayıda Kurumu Hedef Aldı
Clop ransomware çetesi, son haftalarda birçok şirketin sistemlerine sızdığını iddia ederek, U.S. yazılım şirketi Cleo tarafından geliştirilen popüler kurumsal dosya transfer ürünlerindeki bir açığı kullandığını açıkladı.
Cleo Yazılımında Bulunan Açık ve Saldırılar
TechCrunch tarafından görülen bir dark web sızıntı sitesindeki yazıda, Clop çetesi, Cleo’nun yazılım araçlarındaki yüksek riskli bir güvenlik açığını istismar ederek 59 organizasyonu hedef aldığını öne sürdü.
Bu açık, Cleo’nun LexiCom, VLTransfer ve Harmony ürünlerini etkilemektedir. Cleo, bu açığı Ekim 2024’teki bir güvenlik bildiriminde duyurdu ancak güvenlik araştırmacıları, hackerların açığı Aralık ayında toplu olarak istismar etmeye başladığını gözlemledi.
Clop’un Tehditleri ve Kurumların Tepkileri
Clop, yazısında, hackledikleri organizasyonlara bildirimde bulunduğunu ancak kurumların çeteyle müzakere etmediğini iddia ediyor. Çete, talep ettikleri fidye ödenmediği taktirde, çaldıkları verileri 18 Ocak’ta yayımlamakla tehdit ediyor.
Kurumsal dosya transfer araçları, hassas verilerin genellikle saklandığı sistemler olduğu için ransomware hackerları tarafından popüler bir hedef olmuştur. Clop çetesi, daha önce de Progress Software’in MOVEit Transfer ürününde ve Fortra’nın GoAnywhere yönetilen dosya transfer yazılımında güvenlik açıklarını istismar etmiştir.
Son saldırılarının ardından, en az bir şirket, Cleo sistemlerindeki Clop saldırılarına bağlı bir ihlali doğrulamıştır.
Alman üretim devi Covestro, TechCrunch’a yaptığı açıklamada Clop tarafından kontakt edildiklerini ve çetenin sistemlerine erişim sağladığını doğruladıklarını bildirdi.
Covestro’dan Açıklama
Covestro sözcüsü Przemyslaw Jedrysik, “Bir ABD lojistik sunucusunda yetkisiz erişim tespit ettik. Bu sunucu, taşımacı sağlayıcılarla gönderim bilgilerini değiş tokuş etmek için kullanılıyor.” dedi. Jedrysik, “Sunucudaki bilgilerin çoğunluğunun hassas nitelikte olmadığını” ancak erişime geçen veri türlerini açıklamak istemediğini kaydetti.
Kuruluşların Cevapları
TechCrunch ile konuşan diğer bazı kurban bildirilmiş durumda Clop’un iddialarını çürüttü ve en son mass-hack kampanyasıyla ilgili olarak saldırıya uğradıklarını yalanladılar.
ABD araç kiralama devi Hertz’in sözcüsü, Clop’un iddialarından haberdar olduklarını, ancak şu aşamada Hertz verilerinin veya sistemlerinin etkilenip etkilenmediğine dair herhangi bir kanıt bulunmadığını belirtti.
Hertz, “Bu konuyu, üçüncü taraf siber güvenlik ortağımızın desteğiyle aktif olarak izliyoruz.” diye ekledi.
Avustralyalı lojistik firması Linfox’un sözcüsü Christine Panayotou, çetenin iddialarını yalanlayarak, firmanın Cleo yazılımını kullanmadığını ve kendi sistemleriyle ilgili herhangi bir siber olay yaşamadıklarını ifade etti.
Clop’un sızdırdığı diğer kuruluşlar arasında yer alan yazılım tedarikçi devi Blue Yonder da var. Şirket, Kasım’da bir ransomware saldırısı yaşadığını onayladı ancak 12 Aralık’tan bu yana siber güvenlik olayı sayfasını güncellemedi.
Gelecekteki Tehditler ve Yanıtlar
Blue Yonder sözcüsü Marina Renneke, şirketin Cleo’yu belirli dosya transferlerini desteklemek için kullandığını ve potansiyel erişimi araştırdıklarını belirtti; yine de, “Cleo güvenliğindeki açığın, Kasım ayında yaşadığımız siber güvenlik olayı ile bağlantılı olduğuna dair hiçbir neden görmüyoruz.” dedi. Şirket, bu iddia için herhangi bir kanıt sunmadı.
TechCrunch’a yapılan açıklamalarda, ilgili firmaların, sistemlerinin erişime veya veri dışalımına dair izinsel log gibi teknik imkânlara sahip olup olmadığına dair net bir yanıt gelmedi.
Clop, sızdırdığı organizasyon sayısını 21 Ocak’ta artırmayı planladığını duyurdu. Hedef alınan şirketlerin sayısı henüz netlik kazanmış değil, ayrıca saldırıya uğradığı öne sürülen Cleo, TechCrunch’ın sorularına yanıt vermedi.