Geng ransomware Clop mengklaim berada di balik serangan baru-baru ini yang mengeksploitasi kerentanan zero-day di alat transfer file aman MFT GoAnywhere, mengatakan bahwa mereka mencuri data dari lebih dari 130 organisasi.
Cacat keamanan, sekarang dilacak sebagai CVE-2023-0669memungkinkan penyerang mendapatkan eksekusi kode jarak jauh pada instans MFT GoAnywhere yang belum ditambal dengan konsol administratif mereka yang terpapar ke akses Internet.
Clop menghubungi BleepingComputer dan memberi tahu kami bahwa mereka diduga telah mencuri data selama sepuluh hari setelah melanggar server yang rentan terhadap eksploitasi yang menargetkan bug ini.
Namun, geng tersebut menolak memberikan bukti atau membagikan detail tambahan terkait klaim mereka saat BleepingComputer menanyakan kapan serangan dimulai, apakah mereka sudah mulai memeras korbannya, dan uang tebusan apa yang mereka minta.
Mereka juga mengklaim bahwa mereka dapat bergerak secara lateral melalui jaringan korban mereka dan menyebarkan muatan ransomware untuk mengenkripsi sistem mereka tetapi memutuskan untuk tidak melakukannya dan hanya mencuri dokumen yang disimpan di server MFT GoAnywhere yang disusupi.
BleepingComputer tidak dapat mengkonfirmasi klaim Clop secara independen, dan Fortra belum menanggapi beberapa email yang meminta informasi lebih lanjut mengenai eksploitasi CVE-2023-0669 yang sedang berlangsung dan tuduhan kelompok kejahatan dunia maya.
Cacat yang dieksploitasi secara aktif dalam alat transfer file yang aman
Fortra pengembang MFT GoAnywhere (sebelumnya dikenal sebagai HelpSystems) diungkapkan kepada pelanggannya selama akhir pekan bahwa kerentanan sedang dieksploitasi sebagai zero-day in the wild.
Pada hari Senin, eksploitasi proof-of-concept juga dirilis secara onlinememungkinkan eksekusi kode jarak jauh yang tidak diautentikasi pada server yang rentan.
Perusahaan mengeluarkan pembaruan keamanan darurat hari berikutnya untuk memungkinkan pelanggan mengamankan server mereka dari upaya serangan yang masuk.
Sejak itu, Fortra telah menerbitkan pembaruan lain di situs web dukungannya (hanya dapat diakses setelah masuk dengan akun pengguna) pada hari Kamis, mengatakan bahwa beberapa instans MFTaaS miliknya juga dilanggar dalam serangan tersebut.
“Kami telah menentukan bahwa pihak yang tidak berwenang mengakses sistem melalui eksploit yang sebelumnya tidak diketahui dan membuat akun pengguna yang tidak sah,” kata Fortra.
“Sebagai bagian dari tindakan kami untuk mengatasi hal ini dan karena sangat berhati-hati, kami telah menerapkan penghentian layanan sementara. Layanan terus dipulihkan berdasarkan pelanggan demi pelanggan saat mitigasi diterapkan dan diverifikasi di setiap lingkungan.
“Kami bekerja secara langsung dengan pelanggan untuk menilai dampak potensial masing-masing, menerapkan mitigasi, dan memulihkan sistem.”
CISA juga ditambahkan kerentanan CVE-2023-0669 GoAnywhere MFTKatalog Kerentanan Tereksploitasi yang Diketahui pada hari Jumat, memerintahkan agen federal untuk menambal sistem mereka dalam tiga minggu ke depan, hingga 3 Maret.
Sementara Shodan menunjukkan itu lebih dari 1.000 instans GoAnywhere diekspos secara online, hanya 135 di port 8000 dan 8001 (yang digunakan oleh konsol admin yang rentan).
Serangan pemerasan Accellion Clop
Dugaan Clop menggunakan GoAnywhere MFT zero-day untuk mencuri data adalah taktik yang sangat mirip dengan yang mereka gunakan pada Desember 2020, ketika mereka menemukan dan mengeksploitasi kerentanan zero-day Accellion FTA untuk mencuri data sekitar 100 perusahaan.
Pada saat itu, perusahaan menerima email yang menuntut pembayaran uang tebusan $10 juta untuk menghindari kebocoran data mereka ke publik.
Dalam serangan Accellion 2020, operator Clop mencuri sejumlah besar data dari perusahaan terkenal menggunakan File Transfer Appliance (FTA) warisan Accellion.
Organisasi yang servernya diretas oleh Clop termasuk, antara lain, Shell raksasa energi, raksasa supermarket Kroger, perusahaan keamanan siber Qualysdan beberapa universitas di seluruh dunia (misalnya, Kedokteran Stanford, Universitas ColoradoUniversitas Miami, Universitas Maryland Baltimore (UMB), dan Universitas California).
Pada bulan Juni 2021, beberapa infrastruktur Clop ditutup setelah operasi penegakan hukum internasional dengan nama sandi Operation Cyclone ketika enam pencuci uang yang memberikan layanan kepada geng ransomware Clop ditangkap. ditangkap di Ukraina.
Geng tersebut juga dikaitkan dengan serangan ransomware di seluruh dunia setidaknya sejak 2019. Beberapa korban yang servernya dienkripsi oleh Clop termasuk Universitas Maastricht, Perangkat Lunak AG IT, ExecuPharmDan Banteng India.
