Контакты
Подписка 2025
ITSEC 2025
Интеграция безопасности в процессы внутренней разработки. 3-4 июня на Форуме ITSEC 2025 (весна)
Регистрируйтесь и участвуйте!

Группировка Clop за 10 дней украла данные более 130 компаний

13/02/23

hack112-4

Банда вымогателей Clop заявила, что украла данные более 130 организаций по всему миру, используя уязвимость нулевого дня в инструменте безопасной передачи файлов GoAnywhere MFT.

Уязвимость CVE-2023-0669 позволяет хакеру удаленно выполнять код на неисправленных экземплярах GoAnywhere MFT, когда их административная консоль открыта для доступа в Интернет.

По словам группы Clop, они украли данные в течение 10 дней после взлома уязвимых серверов. Они также утверждали, что могут перемещаться по сетям своих жертв и развертывать полезную нагрузку программ-вымогателей для шифрования систем, но отказались от этого и украли только документы, хранящиеся на скомпрометированных серверах GoAnywhere MFT.

Банда отказалась предоставить доказательства или поделиться дополнительной информацией относительно своих заявлений.

Менеджер Huntress Threat Intelligence Джо Словик связал атаки GoAnywhere MFT с TA505, группой угроз, известной тем, что в прошлом развертывала программу-вымогатель Clop, при расследовании атаки, в которой был развернут загрузчик вредоносных программ TrueBot.

«Хотя ссылки не являются достоверными, анализ активности Truebot и механизмов развертывания указывает на TA505. Отчеты различных организаций связывают активность Silence/Truebot с операциями TA505», — сказал Словик.

«Основываясь на наблюдаемых действиях и предыдущих отчетах, мы можем заключить, что активность, которую наблюдала Huntress, была направлена ​​​​на развертывание программы-вымогателя с дополнительной эксплуатацией GoAnywhere MFT».

GoAnywhere MFT — это продукт для управления процессами передачи файлов, обеспечивающий автоматизацию и безопасность при использовании в организациях. Данный веб-инструмент используется десятками крупных компаний и учебных заведений США.

Эксперт по безопасности Кевин Бомонт поделился результатами поиска на платформе Shodan: было выявлено свыше 1000 уязвимых экземпляров административных консолей, доступ к которым можно было получить из Интернета.

На прошлой неделе Fortra сообщила свои клиентам, что уязвимость существует и активно используется в хакерских атаках, напоминает Securitylab. Fortra предоставила индикаторы компрометации для потенциально затронутых клиентов, включая конкретную трассировку стека, которая будет отображаться в журналах на скомпрометированных системах. После этого компания выпустила экстренное обновление с исправлением ошибки.

Темы:ПреступленияВымогатели0Day-уязвимости
КИИ
Защита контейнеров и микросервисной разработки на Форуме ITSEC 2025
Регистрируйтесь и участвуйте 4 июня 2025 →

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Проектирование и защита API на Форуме ITSEC 2025
Посетите 3-4 июня →

Еще темы...

More...