Geng ransomware Clop telah mulai memeras perusahaan yang datanya dicuri menggunakan kerentanan zero-day dalam solusi berbagi file aman Fortra GoAnywhere MFT.
Pada bulan Februari, pengembang solusi transfer file MFT GoAnywhere memperingatkan pelanggan bahwa ada kerentanan eksekusi kode jarak jauh zero-day dieksploitasi pada konsol administratif yang terbuka.
GoAnywhere adalah solusi transfer file web aman yang memungkinkan perusahaan mentransfer file terenkripsi secara aman dengan mitra mereka sambil menyimpan log audit terperinci tentang siapa yang mengakses file tersebut.
Meskipun tidak ada detail yang dibagikan secara publik tentang bagaimana kerentanan dieksploitasi, a mengeksploitasi proof-of-concept segera dirilisdiikuti oleh a tambalan untuk cacatnya.
Sehari setelah patch GoAnywhere dirilis, geng ransomware Clop menghubungi BleepingComputer dan mengatakan bahwa mereka bertanggung jawab atas serangan tersebut.
Kelompok pemerasan mengatakan mereka menggunakan cacat itu selama sepuluh hari mencuri data dari 130 perusahaan. Pada saat itu, BleepingComputer tidak dapat mengonfirmasi klaim ini secara independen, dan Fortra tidak menanggapi email kami.
Sejak saat itu, dua perusahaan Sistem Kesehatan Masyarakat (CHS) Dan Bank Penetasanmengungkapkan bahwa data dicuri dalam serangan MFT GoAnywhere.
Clop mulai memeras pelanggan GoAnywhere
Tadi malam, geng ransomware Clop mulai mengeksploitasi korban serangan GoAnywhere secara terbuka dengan menambahkan tujuh perusahaan baru ke situs kebocoran data mereka.
Hanya satu korban, Hatch Bank, yang diketahui publik telah dibobol menggunakan kerentanan tersebut. Namun, BleepingComputer telah mengetahui bahwa setidaknya dua perusahaan terdaftar lainnya juga dicuri datanya menggunakan kelemahan ini.
Entri di situs kebocoran data semuanya menyatakan bahwa rilis data “segera hadir” tetapi menyertakan tangkapan layar dari data yang diduga dicuri.
Sumber: BleepingComputer
Selain itu, BleepingComputer telah diberitahu bahwa para korban mulai menerima permintaan uang tebusan dari geng ransomware.
Meskipun tidak jelas berapa banyak pelaku ancaman menuntut, mereka sebelumnya menuntut uang tebusan sebesar $10 juta serangan menggunakan kerentanan zero-day Accellion FTA pada Desember 2020.
Selama serangan ini, kelompok pemeras mencuri data dalam jumlah besar dari hampir 100 perusahaan di seluruh dunia, dengan pelaku ancaman perlahan-lahan membocorkan data dari perusahaan sambil menuntut uang tebusan jutaan dolar.
Organisasi yang server Accellionnya diretas termasuk, antara lain, Shell raksasa energi, perusahaan keamanan siber Qualys, raksasa supermarket Krogerdan beberapa universitas di seluruh dunia seperti Kedokteran Stanford, Universitas ColoradoUniversitas Miami, Universitas California, dan Universitas Maryland Baltimore (UMB).
