Η συμμορία ransomware Clop (γνωστή και ως Cl0p) στοχεύει διακομιστές αρχείων Gladinet CentreStack που είναι εκτεθειμένοι στο Διαδίκτυο σε μια νέα εκστρατεία εκβιασμού κλοπής δεδομένων.
Το Gladinet CentreStack επιτρέπει στις επιχειρήσεις να μοιράζονται με ασφάλεια αρχεία που φιλοξενούνται σε διακομιστές αρχείων εσωτερικής εγκατάστασης μέσω προγραμμάτων περιήγησης ιστού, εφαρμογών για κινητά και αντιστοιχισμένων μονάδων δίσκων χωρίς να απαιτείται VPN. Σύμφωνα με το Gladinet, το CentreStack «χρησιμοποιείται από χιλιάδες επιχειρήσεις από περισσότερες από 49 χώρες».
Από τον Απρίλιο, η Gladinet κυκλοφόρησε ενημερώσεις ασφαλείας για την αντιμετώπιση πολλών άλλων ελαττωμάτων ασφαλείας που εκμεταλλεύτηκαν σε επιθέσεις, μερικές από αυτές ως μηδενικές ημέρες.
Η συμμορία του εγκλήματος στον κυβερνοχώρο Clop τώρα σαρώνει και παραβιάζει τους διακομιστές CentreStack που είναι εκτεθειμένοι στο διαδίκτυο, με την Επιμελημένη Intel να λέει στον BleepingComputer ότι οι σημειώσεις για λύτρα αφήνονται σε διακομιστές που έχουν παραβιαστεί.
Ωστόσο, προς το παρόν δεν υπάρχουν πληροφορίες σχετικά με την ευπάθεια που εκμεταλλεύεται ο Clop για να παραβιάσει τους διακομιστές CentreStack. Δεν είναι σαφές εάν πρόκειται για ένα ελάττωμα της ημέρας μηδέν ή για ένα σφάλμα που αντιμετωπίστηκε προηγουμένως και το οποίο οι κάτοχοι των παραβιασμένων συστημάτων δεν έχουν ακόμη επιδιορθώσει.
“Οι Incident Responders από την κοινότητα Curated Intelligence αντιμετώπισαν μια νέα καμπάνια εκβιασμού CLOP που στοχεύει διακομιστές αρχείων CentreStack που αντιμετωπίζουν το Διαδίκτυο.” προειδοποίησε Η ομάδα πληροφοριών απειλών Curated Intelligence την Πέμπτη.
“Από τα πρόσφατα δεδομένα σάρωσης θυρών, φαίνεται ότι υπάρχουν τουλάχιστον 200+ μοναδικές IP που εκτελούν τον τίτλο HTTP “CentreStack – Login”, καθιστώντας τους πιθανούς στόχους του CLOP που εκμεταλλεύεται ένα άγνωστο CVE (n-day ή zero-day) σε αυτά τα συστήματα.”
Επιθέσεις κλοπής δεδομένων του Clop
Το Clop έχει μακρά ιστορία στόχευσης προϊόντων ασφαλούς μεταφοράς αρχείων. Στο παρελθόν, η συμμορία εκβιαστών βρισκόταν πίσω από άλλες καμπάνιες κλοπής δεδομένων που στόχευαν τους διακομιστές κοινής χρήσης αρχείων Accellion FTA, GoAnywhere MFT, Cleo και MOVEit Transfer, ο τελευταίος από τους οποίους επηρέασε πάνω από 2.770 οργανισμούς σε όλο τον κόσμο.
Πιο πρόσφατα, εκμεταλλεύτηκε ένα ελάττωμα μηδενικής ημέρας του Oracle EBS (CVE-2025-61882) για να κλέψει ευαίσθητα αρχεία από πολλούς οργανισμούς από τις αρχές Αυγούστου 2025.
Η λίστα των πελατών της Oracle που επηρεάστηκαν περιλαμβάνει το Πανεπιστήμιο του Χάρβαρντ, την Washington Post, την GlobalLogic, το Πανεπιστήμιο της Πενσυλβάνια, τη Logitech και τη θυγατρική Envoy Air της American Airlines.
Μετά την παραβίαση των συστημάτων τους και τη διήθηση ευαίσθητων εγγράφων, ο Clop δημοσίευσε τα κλεμμένα δεδομένα στον ιστότοπο διαρροής του σκοτεινού ιστού και τα έκανε διαθέσιμα για λήψη μέσω Torrent.
Το Υπουργείο Εξωτερικών των ΗΠΑ προσφέρει ανταμοιβή 10 εκατομμυρίων δολαρίων για οποιαδήποτε πληροφορία που θα μπορούσε να συνδέσει τις επιθέσεις αυτής της συμμορίας του εγκλήματος στον κυβερνοχώρο με μια ξένη κυβέρνηση.
Ένας εκπρόσωπος της Gladinet δεν ήταν άμεσα διαθέσιμος για σχόλιο όταν επικοινώνησε η BleepingComputer νωρίτερα σήμερα
Το σπασμένο IAM δεν είναι απλώς ένα πρόβλημα πληροφορικής – ο αντίκτυπος κυματίζεται σε ολόκληρη την επιχείρησή σας.
Αυτός ο πρακτικός οδηγός καλύπτει γιατί οι παραδοσιακές πρακτικές IAM αποτυγχάνουν να συμβαδίζουν με τις σύγχρονες απαιτήσεις, παραδείγματα για το πώς φαίνεται το “καλό” IAM και μια απλή λίστα ελέγχου για τη δημιουργία μιας επεκτάσιμης στρατηγικής.
VIA: bleepingcomputer.com
