Группировка CL0P Ransomware проводит масштабные атаки на телекоммуникационный и медицинский секторы

Группировка CL0P Ransomware усилила атаки на критические секторы инфраструктуры. В результате телекоммуникационные и медицинские организации по всему миру сообщают о масштабных утечках данных и шифровании систем. Злоумышленники использовали уязвимость нулевого дня (CVE-2024-50623) в интеграционном программном обеспечении Cleo, чтобы за один только февраль 2025 года взломать более 80 организаций. Это значительно превышает их показатель 2023 года, когда было совершено 384 атаки.

Группировка CL0P использует уязвимости в системах обмена файлами для кражи конфиденциальных данных пациентов, систем биллинга и конфигураций сети перед развертыванием шифрующих нагрузок. Новая тактика группы включает сочетание автоматизированных скриптов для эксплуатации уязвимостей и ручного перемещения внутри сети для атаки на непропатченные системы, подключенные к интернету.

По данным экспертов по безопасности компании Cyberint, злоумышленники используют следующие команды для предотвращения восстановления систем:

• taskkill /IM powerpnt.exe /F – остановка процессов резервного копирования.
• net stop BackupExecAgentBrowser /y – отключение служб резервного копирования.
• vssadmin delete shadows /all /quiet – удаление теневых копий.

Февральская волна атак CL0P связана с использованием уязвимости CVE-2024-50623, которая позволяет удаленное выполнение кода в платформах LexiCom, VLTrader и Harmony от Cleo. Эти платформы широко используются для обмена медицинскими данными и интеграции биллинговых систем в телекоммуникациях. Злоумышленники загружают вредоносные DLL-файлы через HTTP API Cleo, получая полный доступ к системе.

Цепочка атак CL0P:

1. Первоначальное проникновение через уязвимости Cleo.
2. Сбор учетных данных.
3. Экфильтрация данных в течение 72–96 часов.
4. Развертывание шифрующих файлы бинарников с уникальными RSA-ключами для каждой жертвы.

Зашифрованные файлы теперь имеют расширение .Cl0p_2025 и содержат шестнадцатеричные маркеры Clop^_-, что позволяет быстро идентифицировать их.

Группировка CL0P перешла от прямых требований выкупа в биткоинах к анонимным переговорам через чат-порталы в сети Tor. Это изменение совпало с обновлением их метода утечки данных через торрент-сети, что позволяет обходить традиционные методы блокировки сайтов. Более 22 ТБ данных, украденных у медицинских страховых компаний и телекоммуникационных провайдеров, уже появились в пиринговых сетях, включая:

• Истории лечения пациентов с номерами социального страхования (3,1 миллиона записей).
• Карты топологии сетей 5G от азиатских операторов связи.
• Прошивки медицинских устройств из больничных сетей США.

Группировка CL0P также использует следующие уязвимости в параллельных кампаниях:

• CVE-2021-27101 (SQL-инъекция).
• CVE-2021-27104 (удаленное выполнение команд).

Агентство кибербезопасности и защиты инфраструктуры США (CISA) настоятельно рекомендует немедленно обновить программное обеспечение Cleo до версии 5.8.0.21. Однако исследователи предупреждают, что существуют обходные пути для официального исправления.

Сетевые защитники должны отслеживать:

• Команду vssadmin resize shadowstorage.
• TLS-трафик на домен hiperfdhaus.com (известный C2-домен CL0P).

Дополнительные рекомендации

1. Обновление систем:
   Обновите программное обеспечение Cleo до последней версии и своевременно устанавливайте все обновления безопасности.
2. Защита систем резервного копирования:
   Примите дополнительные меры для защиты процессов резервного копирования, например, храните резервные копии в автономном режиме.
3. Сегментация сети:
   Разделите сеть на сегменты и ограничьте доступ к критическим системам.
4. Обучение сотрудников:
   Проводите тренинги для сотрудников по вопросам фишинга и других кибератак.
5. Аудит безопасности:
   Регулярно проводите аудит безопасности систем и устраняйте уязвимости.

Группировка CL0P Ransomware продолжает усиливать атаки на телекоммуникационный и медицинский секторы, нанося серьезный ущерб их системам. Эти атаки подчеркивают системные риски, связанные с взаимосвязанной инфраструктурой. Организации могут защитить себя, обновляя системы, защищая резервные копии и повышая осведомленность сотрудников.

Кибербезопасность – это постоянный процесс, требующий бдительности и обновлений. Для противодействия таким группам, как CL0P, организациям необходимо применять стратегический подход и ставить безопасность на первое место.