Üretken Clop fidye yazılımı çetesi, ABD yazılım şirketi Cleo tarafından geliştirilen çeşitli kurumsal popüler dosya aktarım ürünlerindeki bir güvenlik açığından yararlandıktan sonra son haftalarda hacklediğini iddia ettiği düzinelerce kurumsal kurbanın adını verdi.
Rusya bağlantılı Clop çetesi, karanlık web sızıntı sitesinde TechCrunch tarafından görülen bir gönderide, Cleo’nun yazılım araçlarındaki yüksek riskli hatadan yararlanarak ihlal ettiğini iddia ettiği 59 kuruluşu listeledi.
Kusur Cleo’nun LexiCom, VLTransfer ve Harmony ürünlerini etkiliyor. Cleo, güvenlik açığını ilk olarak Ekim 2024 tarihli bir güvenlik danışma belgesinde açıkladı; güvenlik araştırmacıları, bilgisayar korsanlarının aylar sonra Aralık ayında bu güvenlik açığından toplu olarak yararlandığını gözlemledi.
Clop, paylaşımında ihlal yaptığı kuruluşlara bildirimde bulunduğunu ancak mağdur kuruluşların hackerlarla pazarlık yapmadığını iddia etti. Clop, fidye talepleri ödenmediği takdirde çaldığı iddia edilen verileri 18 Ocak’ta yayınlamakla tehdit ediyor.
Kurumsal dosya aktarım araçları, bu sistemlerde sıklıkla depolanan hassas veriler göz önüne alındığında, fidye yazılımı korsanları ve özellikle de Clop arasında popüler bir hedeftir. Son yıllarda, fidye yazılımı çetesi daha önce Progress Software’in MOVEit Transfer ürünündeki güvenlik açıklarından yararlanmıştı ve daha sonra Fortra’nın GoAnywhere yönetilen dosya aktarım yazılımındaki bir güvenlik açığından toplu olarak yararlanma konusunda itibar kazandı.
En son hackleme çılgınlığının ardından en az bir şirket, Clop’un Cleo sistemlerine yönelik saldırılarıyla bağlantılı bir izinsiz giriş olduğunu doğruladı.
Alman imalat devi Covestro, TechCrunch’a Clop’un kendisiyle iletişime geçtiğini ve o zamandan beri çetenin sistemlerindeki belirli veri depolarına eriştiğini doğruladığını söyledi.
Covestro sözcüsü Przemyslaw Jedrysik yaptığı açıklamada, “Ulaşım sağlayıcılarımızla nakliye bilgileri alışverişinde kullanılan bir ABD lojistik sunucusuna yetkisiz erişim olduğunu doğruladık” dedi. “Buna yanıt olarak sistem bütünlüğünü sağlamak, güvenlik izlemeyi geliştirmek ve müşterileri proaktif olarak bilgilendirmek için önlemler aldık.
Jedrysik, “sunucuda yer alan bilgilerin çoğunluğunun hassas nitelikte olmadığını” doğruladı ancak ne tür verilere erişildiğini söylemeyi reddetti.
TechCrunch’ın görüştüğü diğer mağdur olduğu iddia edilenler, Clop’un iddialarına karşı çıktılar ve çetenin en son toplu hack kampanyası kapsamında ele geçirilmediklerini söylediler.
ABD’li araç kiralama devi Hertz’in sözcüsü Emily Spencer, yaptığı açıklamada şirketin Clop’un iddialarından “farkında” olduğunu ancak “şu anda Hertz verilerinin veya Hertz sistemlerinin etkilendiğine dair hiçbir kanıt olmadığını” söyledi.
Spencer, “Çok dikkatli bir şekilde, üçüncü taraf siber güvenlik ortağımızın desteğiyle bu konuyu aktif olarak izlemeye devam ediyoruz” diye ekledi.
Clop’un sızıntı sitesinde listelediği Avustralyalı lojistik firması Linfox’un sözcüsü Christine Panayotou da şirketin Cleo yazılımını kullanmadığını ve “kendi sistemlerini içeren bir siber olay yaşamadığını” söyleyerek çetenin iddialarına karşı çıktı.
Linfox’un üçüncü bir tarafın dahil olduğu bir siber olay nedeniyle verilere erişip erişmediği sorulduğunda Panayotou yanıt vermedi.
Arrow Electronics ve Western Alliance Bank’ın sözcüleri de TechCrunch’a sistemlerinin güvenliğinin ihlal edildiğine dair hiçbir kanıt bulamadıklarını söyledi.
Clop ayrıca yakın zamanda ihlal edilen yazılım tedarik zinciri devi Blue Yonder’ı da listeledi. Kasım ayında fidye yazılımı saldırısını doğrulayan şirket, siber güvenlik olay sayfasını 12 Aralık’tan bu yana güncellemedi.
TechCrunch tarafından en son ulaşılan Blue Yonder sözcüsü Marina Renneke, 26 Aralık’ta şirketin “belirli dosya aktarımlarını desteklemek ve yönetmek için Cleo’yu kullandığını” ve herhangi bir potansiyel erişimi araştırdığını doğruladı ancak şirketin “buna inanmak için hiçbir nedeni olmadığını” ekledi. Cleo güvenlik açığı kasım ayında yaşadığımız siber güvenlik olayıyla bağlantılı.” Şirket, bu hafta ulaştığında iddiaya ilişkin herhangi bir kanıt sunmadı veya daha yeni bir yorumda bulunmadı.
TechCrunch tarafından sorulduğunda yanıt veren şirketlerin hiçbiri, verilerine erişimi veya veri sızmasını tespit etmek için günlükler gibi teknik araçlara sahip olup olmadıklarını söylemedi.
TechCrunch, Clop’un sızıntı sitesinde listelenen diğer kuruluşlardan henüz yanıt almadı. Clop, 21 Ocak’ta karanlık web sızıntı sitesine daha fazla mağdur örgüt ekleyeceğini iddia ediyor.
Henüz kaç şirketin hedef alındığı bilinmiyor ve kendisi de Clop kurbanı olarak listelenen Cleo, TechCrunch’ın sorularına yanıt vermedi.
Kaynak: https://techcrunch.com/2025/01/16/clop-ransomware-gang-names-dozens-of-victims-hit-by-cleo-mass-hack-but-several-firms-dispute-breaches/