CL0P Ransomware guruhi telekommunikatsiya va sogʻliqni saqlash sektorlariga keng koʻlamli hujumlar uyushtirmoqda

CL0P ransomware guruhi kritik infratuzilma sektorlariga qarshi hujumlarini kuchaytirdi. Buning natijasida butun dunyo boʻylab telekommunikatsiya va sogʻliqni saqlash tashkilotlari keng koʻlamli maʼlumotlar buzilishi va tizimlarning shifrlanishi haqida xabar berishmoqda. Hujumchilar Cleo integratsiya dasturidagi yangi (zero-day) zaifligidan (CVE-2024-50623) foydalanib, 2025-yil fevral oyida atigi bir oy ichida 80 dan ortiq tashkilotni buzishga muvaffaq boʻldi. Bu ularning 2023-yildagi 384 ta hujumidan ancha yuqori koʻrsatkichdir.

CL0P guruhi fayl almashish tizimlaridagi zaifliklardan foydalanib, shifrlashdan oldin sezgir bemor maʼlumotlari, hisob-kitob tizimlari va tarmoq konfiguratsiyasi maʼlumotlarini oʻgʻirlaydi. Guruhning yangi taktikasi – bu avtomatlashtirilgan ekspluatatsiya skriptlari va qoʻlda lateral harakatlanishni birlashtirish orqali yangilanmagan internetga ulangan tizimlarni nishonga olish.

Xavfsizlik mutaxassislari Cyberint kompaniyasining maʼlumotlariga koʻra, hujumchilar tizimni tiklash imkoniyatini cheklash uchun quyidagi buyruqlardan foydalanadi:

• taskkill /IM powerpnt.exe /F – Backup jarayonlarini toʻxtatish.
• net stop BackupExecAgentBrowser /y – Backup xizmatlarini oʻchirish.
• vssadmin delete shadows /all /quiet – Shadow nusxalarni oʻchirish.

CL0Pning fevral oyidagi hujumlari CVE-2024-50623 zaifligidan foydalanishga asoslangan. Bu zaiflik Cleoning LexiCom, VLTrader va Harmony platformalarida topilgan boʻlib, ular sogʻliqni saqlash maʼlumotlari almashinuvi va telekommunikatsiya hisob-kitob tizimlari uchun keng qoʻllaniladi. Hujumchilar Cleoning HTTP API orqali zararli DLL fayllarini yuklab, tizimga toʻliq kirish huquqini qoʻlga kiritadi.

CL0Pning hujum zanjiri:

1. Cleo zaifliklari orqali dastlabki kirish.
2. Hisob maʼlumotlarini yigʻish.
3. 72–96 soat davomida maʼlumotlarni oʻgʻirlash.
4. Shifrlash binariyalarini joylashtirish (har bir qurbon uchun alohida RSA kalitlari bilan).

Shifrlangan fayllar endi .Cl0p_2025 kengaytmasiga ega boʻlib, ular ichida Clop^_- heksadesimal belgilari mavjud. Bu esa ularni tezda aniqlash imkonini beradi.

CL0P guruhi toʻlovlarni anonim ravishda Tor tarmogʻidagi chat portal orqali amalga oshirishga oʻtdi. Bu oʻzgarish ularning 2025 yil 12-fevralda torrent orqali maʼlumotlarni tarqatish usulini yangilashi bilan birga sodir boʻldi. Hujumchilar sogʻliqni saqlash sugʻurtachilari va telekommunikatsiya provayderlaridan oʻgʻirlangan 22 TB dan ortiq maʼlumotlarni peer-to-peer tarmoqlarida tarqatdi. Ular orasida:

• Ijtimoiy sugʻurta raqamlari bilan birga bemorlarning davolanish tarixi (3,1 million yozuv).
• Osiyo telekommunikatsiya operatorlarining 5G tarmoq topologiyasi xaritalari.
• AQSh kasalxonalarining tibbiy qurilmalar firmvarilari.

CL0P guruhi parallel kampaniyalarda quyidagi zaifliklardan foydalanmoqda:

• CVE-2021-27101 (SQL inʼektsiyasi).
• CVE-2021-27104 (masofadan buyruq bajarish).

AQShning Cybersecurity and Infrastructure Security Agency (CISA) Cleo dasturini 5.8.0.21 versiyasiga yangilashni tavsiya qiladi. Biroq, mutaxassislar rasmiy tuzatishdan tashqari qoʻshimcha himoya choralarini koʻrishni maslahat beradi.

Tarmoq himoyachilari quyidagi belgilarni kuzatishlari kerak:

• vssadmin resize shadowstorage buyrugʻi.
• hiperfdhaus.com ga TLS trafigi (bu CL0Pning maʼlum C2 domeni).

Qoʻshimcha tavsiyalar

1. Tizimlarni Yangilash:
   Cleo dasturini eng soʻnggi versiyasiga yangilang va barcha xavfsizlik yangilanishlarini oʻz vaqtida oʻrnating.
2. Backup Tizimlarini Himoya Qilish:
   Backup jarayonlarini himoya qilish uchun qoʻshimcha choralar koʻring. Masalan, backup fayllarni oflayn rejimda saqlang.
3. Tarmoq Segmentatsiyasi:
   Tarmoqlarni segmentatsiya qiling va kritik tizimlarga kirishni cheklang.
4. Xodimlarni Oʻqitish:
   Xodimlarga phishing va boshqa kiberhujumlar haqida treninglar oʻtkazing.
5. Xavfsizlik Auditlari:
   Tizimlarda muntazam ravishda xavfsizlik auditlarini oʻtkazing va zaifliklarni bartaraf eting.

CL0P ransomware guruhi telekommunikatsiya va sogʻliqni saqlash sektorlariga qarshi hujumlarini kuchaytirgan holda, ularning tizimlariga jiddiy zarar yetkazmoqda. Bu hujumlar infratuzilmaning bir-biri bilan bogʻliqligi tufayli yanada katta xavf tugʻdiradi. Tashkilotlar tizimlarni yangilash, backup tizimlarini himoya qilish va xodimlarni xabardor qilish orqali oʻzlarini himoya qilishlari mumkin.

Kiberxavfsizlik – bu doimiy ehtiyotkorlik va yangilanishni talab qiladigan jarayon. CL0P kabi guruhlarning hujumlariga qarshi turish uchun tashkilotlar strategik yondashuvni qoʻllashlari va xavfsizlikni birinchi oʻringa qoʻyishlari zarur.