قامت عصابة Clop لطلب الفدية بتسمية العشرات من ضحايا الشركات التي تدعي أنها اخترقتهم في الأسابيع الأخيرة بعد استغلال ثغرة أمنية في العديد من منتجات نقل الملفات الشائعة للمؤسسات التي طورتها شركة البرمجيات الأمريكية Cleo.
وفي منشور على موقع تسريب الويب المظلم الخاص بها، والذي اطلعت عليه TechCrunch، أدرجت عصابة Clop المرتبطة بروسيا 59 منظمة تدعي أنها اخترقتها من خلال استغلال الخلل عالي الخطورة في أدوات برمجيات Cleo.
ويؤثر الخلل على منتجات LexiCom وVLTransfer وHarmony التابعة لشركة Cleo. كشفت شركة Cleo لأول مرة عن الثغرة الأمنية في تقرير أمني صدر في أكتوبر 2024 قبل أن يلاحظ باحثو الأمن أن المتسللين يستغلون الثغرة الأمنية بشكل جماعي بعد أشهر في ديسمبر.
وزعمت شركة كلوب في منشورها أنها أبلغت المنظمات التي انتهكت، لكن المنظمات الضحية لم تتفاوض مع المتسللين. يهدد Clop بنشر البيانات التي يُزعم أنه سرقها في 18 يناير ما لم يتم دفع الفدية التي طلبها.
تعد أدوات نقل الملفات الخاصة بالمؤسسات هدفًا شائعًا بين قراصنة برامج الفدية – وClop على وجه الخصوص – نظرًا للبيانات الحساسة المخزنة غالبًا في هذه الأنظمة. في السنوات الأخيرة، استغلت عصابة برامج الفدية سابقًا نقاط الضعف في منتج MOVEit Transfer التابع لشركة Progress Software، وحصلت لاحقًا على الفضل في الاستغلال الجماعي لثغرة أمنية في برنامج نقل الملفات المُدار GoAnywhere التابع لشركة Fortra.
بعد موجة القرصنة الأخيرة، أكدت شركة واحدة على الأقل حدوث اختراق مرتبط بهجمات Clop على أنظمة Cleo.
صرحت شركة التصنيع الألمانية العملاقة Covestro لـ TechCrunch أنه تم الاتصال بها من قبل Clop، وأكدت منذ ذلك الحين أن العصابة وصلت إلى مخازن بيانات معينة على أنظمتها.
وقال المتحدث باسم شركة Covestro، برزيميسلاف جيدريسيك، في بيان: “لقد أكدنا أنه كان هناك وصول غير مصرح به إلى خادم لوجستي أمريكي، والذي يستخدم لتبادل معلومات الشحن مع مزودي النقل لدينا”. “واستجابة لذلك، اتخذنا تدابير لضمان سلامة النظام وتعزيز المراقبة الأمنية وإخطار العملاء بشكل استباقي.
وأكد جيدريسيك أن “أغلبية المعلومات الموجودة على الخادم لم تكن ذات طبيعة حساسة”، لكنه رفض تحديد أنواع البيانات التي تم الوصول إليها.
شكك الضحايا المزعومون الآخرون الذين تحدثت معهم TechCrunch في ادعاءات Clop، وقالوا إنهم لم يتم اختراقهم كجزء من حملة الاختراق الجماعي الأخيرة للعصابة.
وقالت إميلي سبنسر، المتحدثة باسم شركة هيرتز الأمريكية العملاقة لتأجير السيارات، في بيان إن الشركة “على علم” بادعاءات كلوب، لكنها قالت “لا يوجد دليل على أن بيانات هيرتز أو أنظمة هيرتز قد تأثرت في هذا الوقت”.
وأضاف سبنسر: “من باب الحذر الشديد، نواصل مراقبة هذا الأمر بنشاط بدعم من شريكنا في الأمن السيبراني التابع لجهة خارجية”.
كما عارضت كريستين بانايوتو، المتحدثة باسم شركة Linfox، وهي شركة لوجستية أسترالية أدرجتها Clop في موقع التسريب الخاص بها، مزاعم العصابة، قائلة إن الشركة لا تستخدم برنامج Cleo و”لم تشهد حادثًا إلكترونيًا يتعلق بأنظمتها الخاصة”.
عندما سُئل عما إذا كان قد تم الوصول إلى بيانات Linfox بسبب حادث سيبراني يتعلق بطرف ثالث، لم يستجب بانايوتو.
كما أخبر المتحدثون الرسميون لشركة Arrow Electronics وWestern Alliance Bank موقع TechCrunch أنهم لم يعثروا على أي دليل على تعرض أنظمتهم للاختراق.
أدرج Clop أيضًا شركة Blue Yonder العملاقة لسلسلة توريد البرمجيات التي تم اختراقها مؤخرًا. ولم تقم الشركة، التي أكدت هجوم برنامج الفدية في نوفمبر، بتحديث صفحة حوادث الأمن السيبراني الخاصة بها منذ 12 ديسمبر.
عندما تواصلت معها TechCrunch آخر مرة، أكدت المتحدثة باسم Blue Yonder مارينا رينيكي في 26 ديسمبر أن الشركة “تستخدم Cleo لدعم وإدارة عمليات نقل معينة للملفات” وأنها تحقق في أي وصول محتمل، لكنها أضافت أن الشركة “ليس لديها سبب للاعتقاد بأن ترتبط ثغرة Cleo بحادث الأمن السيبراني الذي شهدناه في نوفمبر. ولم تقدم الشركة دليلاً على هذه المطالبة، ولم تقدم أي تعليق أحدث عندما تم الوصول إليها هذا الأسبوع.
عندما سألتها TechCrunch، لم تذكر أي من الشركات التي استجابت ما إذا كانت لديها الوسائل التقنية، مثل السجلات، لاكتشاف الوصول إلى بياناتها أو تسريبها.
لم تتلق TechCrunch بعد ردودًا من المنظمات الأخرى المدرجة في موقع التسرب الخاص بـ Clop. تدعي شركة Clop أنها ستضيف المزيد من المنظمات الضحية إلى موقع تسرب الويب المظلم الخاص بها في 21 يناير.
لم يُعرف بعد عدد الشركات التي تم استهدافها، ولم ترد شركة Cleo – التي تم إدراجها كضحية لـ Clop – على أسئلة TechCrunch.
Source link
اكتشاف المزيد من مؤسسة اشراق العالم لتقنية المعلومات-خدمات مواقع ومتاجر الإنترنت
اشترك للحصول على أحدث التدوينات المرسلة إلى بريدك الإلكتروني.