Kelompok ransomware Clop sekali lagi menunjukkan kemampuannya dalam mengeksploitasi kerentanannya untuk merusak sistem yang sensitif. Saat Cleo—penyedia layanan transfer file terkelola untuk bisnis—menghadapi dampak serangan yang ditargetkan oleh Clop pada sistem mereka, fokus beralih pada CVE-2024-50623 dan CVE-2024-55956, dua kerentanannya yang sangat kritis yang memungkinkan terjadinya pelanggaran tersebut. Dalam artikel ini, kami akan memberikan gambaran tentang kerentanannya, menyoroti apa yang telah diamati oleh Imperva mengenai eksploitasi tersebut, dan menjelaskan bagaimana solusi kami membantu mengurangi risiko-risiko ini. Kerentanan yang Dieksploitasi: Tinjauan Lebih Dekat CVE-2024-50623 dan CVE-2024-55956 adalah dua kerentanannya yang sangat kritis pada perangkat lunak Cleo, yang digunakan secara luas untuk transfer file yang aman dan integrasi data. CVE-2024-50623 memungkinkan pengunggahan dan pengunduhan file tanpa batasan, yang dapat mengarah pada eksekusi kode jarak jauh. Sementara itu, CVE-2024-55956 memungkinkan pengguna yang tidak terautentikasi untuk mengimpor dan mengeksekusi perintah Bash atau PowerShell secara sewenang-wenang di sistem. Kerentanannya ini, jika dibiarkan tanpa penanganan, memberikan kesempatan bagi penyerang untuk mencuri data dan mengeksekusi muatan berbahaya, seperti yang dibuktikan dengan eksploitasi oleh Clop. Pelanggan Imperva dilindungi dari kedua kerentanannya tersebut. Apa yang Diamati Imperva Sejak pengungkapan kerentanannya ini, kami telah memantau lebih dari 1 juta insiden percakapan eksploitasi yang menargetkan hampir 10.000 situs di 60 negara, dengan fokus yang mencolok di Amerika Serikat dan Australia. Industri-industri seperti Layanan Keuangan dan Pemerintah menjadi target utama, dengan Clop dan penyerang lainnya memanfaatkan kerentanannya ini untuk mencoba mendapatkan akses yang tidak sah dan mengganggu operasi. Serangan otomatis sebagian besar berasal dari alat berbasis Go. Gambar 1: Industri yang diserang Setelah menganalisis muatan serangannya, kami melihat bahwa penyerang mencoba untuk menulis file ke dalam sistem target. File dropper tahap pertama ini adalah komponen penting dalam memulai rantai serangan dan dirancang untuk memanggil skrip PowerShell dan akhirnya melakukan eksekusi kode. Gambar 2: Muatan yang diamati Skrip PowerShell kemudian menghubungi alamat IP eksternal dan mengunduh file JAR. File JAR ini bertujuan untuk mempertahankan diri di server, dan dihapus oleh penyerang untuk tetap tidak terdeteksi. Gambar 3: Skrip PowerShell yang didekode Ketahanan menjadi aspek kunci dari serangan ransomware, memastikan bahwa penyerang tetap mengendalikan sistem meskipun vektor serangan awal ditemukan atau dihapus. Dalam proses enkripsi mereka, ransomware Clop juga menargetkan sistem cadangan untuk memastikan bahwa korban tidak dapat memulihkan data mereka tanpa membayar uang tebusan. Penyerang biasanya menuntut pembayaran dalam bentuk cryptocurrency, dengan janji untuk memberikan kunci dekripsi setelah pembayaran. Namun, korban sering kali menemukan bahwa membayar uang tebusan tidak selalu menjamin bahwa data mereka akan dipulihkan. Selain mengenkripsi file, Clop juga dikenal untuk mengekstrak data sensitif sebelum proses enkripsi, menambahkan elemen pemerasan dalam serangannya. Penyerang mungkin mengancam untuk mempublikasikan atau menjual data yang dicuri kecuali korban memenuhi tuntutannya, meningkatkan tekanan pada organisasi untuk membayar uang tebusan. Gambar 4: Situs Pemerasan Clop Clop sebelumnya telah membuat berita karena mengeksploitasi kerentanannya pada GoAnywhere MFT dan MOVEit, dua program transfer file, pada tahun 2023. Clop mengeksploitasi CVE-2023-34362 dan CVE-2023-0669, yang memungkinkan mereka mengakses data sensitif dari berbagai perusahaan. Pelanggaran ini mempengaruhi lebih dari 130 organisasi di berbagai industri, mulai dari kesehatan hingga keuangan, lebih lanjut mengamankan kemampuan Clop untuk menembus target bernilai tinggi. Sebagai hasilnya, diperkirakan kelompok ini menghasilkan lebih dari $75 juta dalam tebusan, memanfaatkan baik pencurian data dan ancaman paparan publik untuk mendesak korban membayar. Kesimpulan: Menjaga Diri dari Ancaman Serangan pencurian data Cleo menyoroti urgensi manajemen kerentanannya yang proaktif. Selain solusi keamanan yang kuat, penting bagi organisasi untuk memprioritaskan pembaruan yang tepat waktu guna mengurangi risiko dari kerentanannya yang sudah diketahui seperti CVE-2024-50623 dan CVE-2024-55956. Imperva tetap berkomitmen untuk membantu pelanggan melindungi sistem kritis mereka melalui solusi deteksi dan pencegahan ancaman yang canggih, memastikan ketahanan terhadap ancaman yang terus berkembang. Tabel Pendukung: Kerentanannya Deskripsi CVE-2024-50623 Kerentanan pada perangkat lunak Cleo yang memungkinkan pengunggahan dan pengunduhan file tanpa batasan, yang dapat mengarah pada eksekusi kode jarak jauh. CVE-2024-55956 Kerentanan yang memungkinkan pengguna yang tidak terautentikasi untuk mengimpor dan mengeksekusi perintah Bash atau PowerShell secara sewenang-wenang di sistem. Serangan Clop Serangan ransomware yang mengeksploitasi kerentanannya untuk mencuri data dan mengancam untuk mempublikasikan atau menjual data yang dicuri kecuali korban membayar uang tebusan. Skrip PowerShell Skrip yang digunakan penyerang untuk mengambil file JAR dari alamat IP eksternal dan menghapusnya untuk mempertahankan keberlanjutan serangan di server target. Pencurian Data dan Pemerasan Clop menggabungkan pencurian data dengan pemerasan, mengancam untuk menjual data yang dicuri jika korban tidak membayar uang tebusan.
