Группировка Clop за 10 дней украла данные более 130 компаний

В своих атаках группа использовала уязвимость нулевого дня Fortra GoAnywhere MFT.​

c15m9wvsttpuvpw9xbc3rha5ukbeagcq.jpg

Банда вымогателей Clop заявила, что украла данные более 130 организаций по всему миру, используя уязвимость нулевого дня в инструменте безопасной передачи файлов GoAnywhere MFT.

Уязвимость CVE-2023-0669 позволяет хакеру удаленно выполнять код на неисправленных экземплярах GoAnywhere MFT, когда их административная консоль открыта для доступа в Интернет.

По словам группы Clop, они украли данные в течение 10 дней после взлома уязвимых серверов. Они также утверждали, что могут перемещаться по сетям своих жертв и развертывать полезную нагрузку программ-вымогателей для шифрования систем, но отказались от этого и украли только документы, хранящиеся на скомпрометированных серверах GoAnywhere MFT.

Банда отказалась предоставить доказательства или поделиться дополнительной информацией относительно своих заявлений.

Менеджер Huntress Threat Intelligence Джо Словик связал атаки GoAnywhere MFT с TA505 , группой угроз, известной тем, что в прошлом развертывала программу-вымогатель Clop, при расследовании атаки, в которой был развернут загрузчик вредоносных программ TrueBot.

«Хотя ссылки не являются достоверными, анализ активности Truebot и механизмов развертывания указывает на TA505. Отчеты различных организаций связывают активность Silence/Truebot с операциями TA505», — сказал Словик.

«Основываясь на наблюдаемых действиях и предыдущих отчетах, мы можем заключить, что активность, которую наблюдала Huntress, была направлена на развертывание программы-вымогателя с дополнительной эксплуатацией GoAnywhere MFT».

GoAnywhere MFT — это продукт для управления процессами передачи файлов, обеспечивающий автоматизацию и безопасность при использовании в организациях. Данный веб-инструмент используется десятками крупных компаний и учебных заведений США.

Эксперт по безопасности Кевин Бомонт поделился результатами поиска на платформе Shodan: было выявлено свыше 1000 уязвимых экземпляров административных консолей, доступ к которым можно было получить из Интернета.

pbwip3250svr258sph7y4y70mlz3x94n.png

Доступные в интернете уязвимые устройства GoAnywhere MFT На прошлой неделе Fortra сообщила свои клиентам, что уязвимость существует и активно используется в хакерских атаках. Fortra предоставила индикаторы компрометации для потенциально затронутых клиентов, включая конкретную трассировку стека, которая будет отображаться в журналах на скомпрометированных системах. После этого компания выпустила экстренное обновление с исправлением ошибки.