De criminelen achter de Clop-ransomware, die vijf jaar geleden nog systemen van de Universiteit van Maastricht infecteerden, zeggen achter de aanvallen te zitten waarbij misbruik wordt gemaakt van een kritieke kwetsbaarheid in de file transfer software van softwarebedrijf Cleo. Het gaat om Cleo’s LexiCom, VLTransfer en Harmony software waarmee organisaties bestanden uitwisselen. Vorige week waarschuwde de Amerikaanse overheid dat een beveiligingslek, aangeduid als CVE-2024-50623, bij ransomware-aanvallen wordt ingezet.

Via de eigen website laat de Clop-groep weten dat het links naar gegevens van eerder gecompromitteerde organisaties verwijdert, alsmede deze data, en alleen nog 'werkt' met bedrijven die via de Cleo-kwetsbaarheid zijn aangevallen. In een reactie tegenover BleepingComputer stellen de criminelen dat zij verantwoordelijk zijn voor misbruik van CVE-2024-50623 en een andere Cleo-kwetsbaarheid aangeduid als CVE-2024-55956. De claim is nog niet door Cleo of andere partijen bevestigd.

De Clop-ransomwaregroep gebruikte eerder al kwetsbaarheden in de File Transfer Appliance (FTA) van softwarebedrijf Accellion voor het stelen van data en afpersen van bedrijven, overheden en andere organisaties. Daarnaast zaten de criminelen ook achter de wereldwijde aanval waarbij misbruik werd gemaakt van een beveiligingslek in MOVEit Transfer. Ook dit is een applicatie voor het uitwisselen van gegevens. Via de MOVEit-aanval zouden volgens securitybedrijf Emsisoft gegevens van bijna 96 miljoen individuen bij zo'n 2800 organisaties zijn buitgemaakt.