Clop ha publicado en su sitio de filtración solo los nombres parciales de las empresas que no han respondido a los ataques, sugiriendo que el número de víctimas podría ser mayor. Si las empresas afectadas no responden dentro del plazo, Clop amenaza con revelar sus nombres completos, aumentando la presión sobre sus víctimas.
El ataque en sí se produce tras la explotación de una vulnerabilidad de día cero en los sistemas de transferencia de datos de Cleo, que incluye productos como LexiCom, VLTransfer, y Harmony. Esta brecha de seguridad ha permitido a los atacantes robar datos de las redes empresariales, y se clasifica como CVE-2024-50623, que facilita cargas y descargas de archivos sin restricciones, lo que puede resultar en la ejecución remota de código.
La explotación de esta vulnerabilidad ya había sido previamente advertida por investigadores, quienes publicaron un exploit de prueba de concepto para demostrar su gravedad. Días después, Clop confirmó su responsabilidad en el uso de esta vulnerabilidad para llevar a cabo sus ataques, indicando que además de su nuevo enfoque de extorsión, los datos de ataques anteriores serán eliminados de su plataforma.
Expertos en ciberseguridad, como Yutaka Sejiyama de Macnica, señalaron que aunque Clop ha publicado solo los nombres incompletos de las empresas afectadas, es posible identificar a algunas víctimas mediante la información de los servidores de Cleo expuestos públicamente.
Finalmente, aunque la magnitud total de las empresas comprometidas aún es indeterminada, Cleo ha destacado que su software es utilizado por más de 4,000 organizaciones en todo el mundo, lo que sugiere que la reciente ola de ataques de Clop podría haber afectado a un número considerable de víctimas.
Enlace de la fuente, haz clic para tener más información