Cl0p ransomware grubu, Cleo dosya transfer yazılımındaki güvenlik açıklarını istismar ederek düzenlediği saldırıda hedef aldığı 60’tan fazla kurumu ifşa etmeye hazırlanıyor. Grup, bu kurumların verilerinin çalındığını doğrulayan kanıtlar sundu ve fidye ödemelerini sağlamak için bir dizi son uyarı yaptı.
Cleo saldırılarının ayrıntıları ve yeni tehditler
Cl0p, Aralık ayının ortalarında Cleo yazılımındaki açıkları kullanarak birçok hedefi etkilediğini açıklamıştı. Şimdiye kadar saldırıya uğradığı doğrulanan tek kurban tedarik zinciri yönetim yazılımı sağlayıcısı Blue Yonder oldu. Ancak, grup yakın zamanda diğer kurbanları da ifşa edeceğini duyurdu. Cl0p’un dark web üzerindeki Tor tabanlı sitesinde, şirket isimlerinin kısmi bir listesi yayınlandı ve 30 Aralık’ta tam isimlerin açıklanacağı belirtildi. Bu açıklamanın yapılmaması için ise fidye talep ediliyor.
Blue Yonder saldırısının Starbucks ve bazı büyük market zincirlerini etkilediği biliniyor. Saldırılar, Cleo Harmony, VLTrader ve LexiCom araçlarında bulunan ve CVE-2024-50623 ile CVE-2024-55956 kodlarıyla izlenen iki güvenlik açığından yararlanılarak gerçekleştirildi. Bu açıklar, saldırganların dosya transfer sistemlerinden yetkisiz bir şekilde dosya çalmasına olanak tanıyor. Özellikle CVE-2024-55956’nın bir sıfırıncı gün açığı olarak kullanıldığı bildiriliyor.
Cl0p’un bu saldırılar için sorumluluk üstlenmesine rağmen, yeni bir ransomware grubu olan Termite’ın Blue Yonder saldırısını üstlenmesi ve Cl0p ile olası bir bağlantıya işaret etmesi dikkat çekiyor. Bu durum, Cleo yazılımındaki güvenlik açıklarını birden fazla tehdit grubunun kullanıyor olabileceği ihtimalini güçlendiriyor.
Cleo yazılımının dünya genelinde 4.000’den fazla müşterisi olduğu ve yüzlerce internet üzerinden erişilebilir dosya transfer sistemi bulunduğu biliniyor. Bu durum, saldırıların boyutunun ne kadar geniş olabileceğine dair ciddi bir uyarı niteliğinde. Cleo saldırıları, Cl0p’un daha önce MOVEit yazılımında sıfırıncı gün açığını kullanarak düzenlediği saldırıları hatırlatıyor. Bu saldırılar sırasında binlerce organizasyondan bilgi çalınmıştı.
Güvenlik açıklarının bu kadar geniş çaplı kullanılması, sadece Cl0p gibi bilinen grupların değil, aynı zamanda henüz tespit edilmemiş diğer tehdit aktörlerinin de bu tür zayıflıkları kullanabileceğini gösteriyor. Özellikle, fidye yazılımı gruplarının verileri çalma ve ardından fidye talep etme taktiği, şirketlerin siber güvenlik politikalarını yeniden gözden geçirmelerini zorunlu kılıyor.
Cleo saldırıları, hem fidye yazılımı gruplarının giderek daha karmaşık yöntemler geliştirdiğini hem de yazılım açıklarının hızlı bir şekilde yama yapılmasının hayati önem taşıdığını bir kez daha gözler önüne seriyor. Kurbanların kimliklerinin ifşa edilmesiyle bu saldırıların yankılarının daha geniş bir alana yayılması bekleniyor. Siber güvenlik uzmanları, benzer saldırıları önlemek için kurumların güvenlik açıklarını hızla kapatması ve kapsamlı bir güvenlik politikası oluşturması gerektiği konusunda uyarıyor.
