Tehnologija

Clop Resugence pogone napada na ransomware u februaru

anketa.plus
Izvor: anketa.plus
Clop Resugence pogone napada na ransomware u februaru

Black Elkha – Stock.Adobe.com

Eksploatacija dvije nove ranjivosti u popularnom uslugu prenosa datoteka vidjelo je banđu CLOP-a za ransomware u februaru, prema NCC-u

Od

  • Alex Scroxton,Sigurnosni urednik

Objavljeno: 19. marta 2025. 15:18

Broj ransomware napada porastao je 50% od januara do 2025. februara, a samo ispod 40% pripisujući se posadi Resurnetu Clop / CL0p, navodi NCC Grupe najnovije mjesečno Prijetnji izveštaj pulsa.

Tokom četiri sedmice od 1 do 28. februara, NCC je promatrao 886 napada za ransomware, u odnosu na 590 u januaru i 403 ovog puta prošle godine. Rečeno je da je Clopova kriška pita bila “neobično” visoka kao direktan rezultat masovnog imenovanja i sramota žrtava ugroženih putem para nula dana iskorištavanja u paketu softvera CLEO datoteka.

Kako će Cyber ​​kriminalizi znati, CLOP banda je poznat za traženje i iskorištavanje usluga prenosa datoteka, orkestriranim masovnim hakirom korisnika SOFTiT-a u 2023. godini – koji su u to vrijeme imali sličan učinak.

Međutim, rekao je da je NCC, CLOP, također poznat da preuzme svoje zahtjeve da prikupi više pažnje, pa iako nema sumnje da je to vrlo agresivan akter prijetnje, brojevi su možda manipulirani.

Ipak, banda je značajno nadmašila svoje najbliže rivale, a Ransomhub upravlja 87 napada, Akira 77 i igrao 43.

“Brojevi žrtava za ransomware Highs Highs Highs u februaru, postavljajući 50% u odnosu na 2025. januar, a CL0P vodeći naboj”, rekao je NCC prijetnju inteligenciji glave Matt Hull. “Za razliku od tradicionalnih operacija Ransomware, aktivnost CL0P-a nije bila o šifriranju sistema – radila se o krađe podataka na skali.

“Eksploatacijom nepovezanih ranjivosti u široko korištenom softveru za prenos datoteke, kao što smo vidjeli s potezom i gužvama, oni će počniti žrtvama i iznuđivanju.

CLOP-ovi Cleo napadi bili su orkestrirani kroz dve zajedničke ranjivosti i izloženosti (Cves) praćeni kao CVE-2024-50623 i CVE-2024-55956.

Prva od njih omogućava prijenos zlonamjernih datoteka na poslužitelj nego što se tada može izvršiti kako bi se dobilo daljinski izvršenje koda (RCE). Ovo se pitanje pojavljuje nepravilnim rukovanjem prenosom datoteka u direktoriju Autorun koji se može iskoristiti slanjem izrađenog zahtjeva za dohvaćanje datoteka ili za učitavanje zlonamjernih.

Drugo omogućava RCE putem Autoruna, omogućujući neovlaštenim korisnicima da uvoze i izvrši proizvoljne naređene naredbe ili powerhell naredbe na domaćinu koristeći zadane postavke Autoruna direktorija. Flaw također omogućava napadaču da implementira modularne jave nazad za krađe podataka i pomakne bočno.

Zakrpe su dostupne i za oba, ali prema NCC-u, mnoge organizacije koje koriste Cleo ostaju ranjive zahvaljujući odgođenim ažuriranjima ili nedovoljnim ublažanjima.

Usred političkog haosa, akteri prijetnje fokusiraju se na SAD

Primjetan u NCC-ovima ovog mjeseca bio je u mjeri u kojoj se napadački napadači na ciljevi utječu na ciljeve u SAD-u – Sadržaj u SAD-u za 65% promatranih incidenata u odnosu na 18% u Europi i 7% u Aziji.

Prošlog novembra, NCC Prijetnji izveštaj pulsa izvijestili su slične statistike i pripisuju visokim napadima na haotični geopolitički krajolik.

Čini se da je ovaj trend prikupljajući tempo budući da se predsjednik Trump vratio u bijelu kuću u januaru 2025. godine, istovremeno raširivši pritisak na Iran da bi umanjio značajan prekid u odnosu između američkih i Ukrajine, uz odstojnu u odnosu na ruski režim.

NCC je rekao da je vidio značajne “mogućnosti” za prijetnjama i za prijetnju i Iran i u Rusiji da iskoriste brzo promjenu američke politike – u Iranskom slučaju, predložio je da Teheran može proširiti svoje cyber sposobnosti na državi i zatražiti bliže veze za Kinu potražiti bliže veze u Kini; Dok je u Evropi, rusko govore sa cyber kriminalnim ekosustavom možda olakšati njihovo ciljanje američkih žrtava ako se odmrzava nastavlja.

Ali za sada, rusko govorne bande nastavljaju da nas tečaju ciljevi i, u kratkom roku, NCC je rekao da je vidio značajne zabrinutosti nad dramatičnim rezovima vlade koje provodi Ministarstvo za efikasnost vlade (doge). Naplaćeni od strane Trumpa suod kao napad na rasipnu potrošnju od strane Washingtona DC-a, ti napori, koji su vodili tehnološki oligarh elon mošus, vidjeli su da su već ispaljeni hiljade vladinih radnika.

NCC je rekao da su i financijski i geopolitički motivirani prijetnja bili vjerovatno da iskoriste iskorištavanje zbrke i poremećaja koji su vjerojatno doveli do značajnog odstupanja od normalnih cyber standarda i procesa u saveznoj vladi. Stres i nesigurnost također povećavaju rizik od razornih napada i dovodi do prijetnji insajdera.

Alarmično, 19-godišnji zaposlenik dogode koji je dao visok pristup osjetljivoj državi IT sistemima također je bivši član cyber kriminalne mreže poznat kao COM.

NCC je napomenuo da je američka kuća odbor za nadzor i reformu vlade pozvala na prestanak dovih aktivnosti i upozorio na “nesmotreno nepoštovanje kritičnih cyber sigurnosnih praksi”.

Pročitajte više o hakerima i prevenciji cyberfime-a

  • NCC Group prati alarmantni porast ransomware-a u januaru

    Napisao: Arielle Waldman

  • Funksec banda je u decembru pojavila ransomware toplinu

    Napisao: Alex Scroxton

  • Ranjivost Cleo Zero-Day dobiva CVE jer napadi nastavljaju

    Napisao: Alexander Culafi

  • Cleo flasteri prenos datoteke ZERO-Dnevna mana pod napadom

    Napisao: Alexander Culafi