- En el momento de la publicación, Lexicom, VLTransfer y Harmony de Clio contienen un error que se reveló en octubre de 2024.
- Se observó por primera vez a los actores de amenazas explotándolo en diciembre de 2024.
- El grupo de ransomware Klopp se ha cobrado 59 víctimas de su sitio de filtración, aunque algunos cuestionan cualquier penetración
Klopp, el grupo de ransomware vinculado al estado ruso, ha afirmado haber pirateado 59 empresas después de explotar un error conocido en varias aplicaciones de transferencia de archivos desarrolladas por la empresa de software Clio.
el defecto, CVE-2024-50623Afectando al software LexiCom, VLTransfer y Harmony de Clio, permitiendo sin darse cuenta la ejecución remota de código, se reveló por primera vez el 30 de octubre de 2024. Posteriormente, Klopp publicó la lista de víctimas en su web oscura, aunque muchos niegan que se haya producido una infracción.
Klopp afirma haber emitido avisos de intrusión a sus víctimas, incluida la propia Cleo, en su sitio web, pero también que las empresas afectadas se niegan a ceder a las demandas de rescate.
Efecto de error de Clio RCE
Pashmislav Jadrisic, portavoz del fabricante alemán Kovestro, fue uno de los pocos que estuvo dispuesto a revelar el alcance de la intrusión en TechCrunch.
Reveló el acceso no autorizado de Klopp a un servidor de logística en los EE. UU., pero desde entonces “ha tomado medidas para garantizar la integridad del sistema, mejorar el monitoreo de seguridad y notificar proactivamente a los clientes”. También afirmó que la información en este servidor no es de naturaleza sensible.
Sin embargo, portavoces de varias empresas, incluida la empresa de alquiler de coches Hertz y la empresa de logística australiana Linfox, negaron específicamente la intrusión en declaraciones a TechCrunch.
Klopp también incluyó a la organización de la cadena de suministro de software Blue Yonder como víctima, aunque, al momento de esta publicación, no había publicado ninguna actualización de incidentes de ciberseguridad desde el 12 de diciembre de 2024. Sin embargo, un portavoz le dijo a TechCrunch en un comunicado que Blue Yonder sí usa el software Cleo. , y que investiga posibles accesos no autorizados a sus servidores.
El grupo afirma que revelará más víctimas de este ataque el 21 de enero de 2025, aunque el verdadero alcance del ataque aún no está claro.