De criminelen achter de Clop-ransomware claimen via de recente aanval op file sharing software van ontwikkelaar Cleo meer dan zestig slachtoffers te hebben gemaakt. Op de eigen 'Clop Leaks' website heeft de Clop-groep een lijst met gemaskeerde namen van meer dan zestig slachtoffers geplaatst. De ongemaskeerde versie zou op 30 december openbaar worden gemaakt. Daarnaast dreigt de groep gestolen data te publiceren als slachtoffers de criminelen negeren.

De Clop-groep gebruikte twee kwetsbaarheden (CVE-2024-5595 en CVE-2024-50623) in Cleo’s LexiCom, VLTransfer en Harmony software waarmee organisaties bestanden uitwisselen. Via de beveiligingslekken kregen de criminelen toegang tot kwetsbare servers en bestanden die hierop aanwezig waren. De Clop-ransomwaregroep gebruikte eerder al kwetsbaarheden in de File Transfer Appliance (FTA) van softwarebedrijf Accellion voor het stelen van data en afpersen van bedrijven, overheden en andere organisaties.

Daarnaast zaten de criminelen ook achter de wereldwijde aanval waarbij misbruik werd gemaakt van een beveiligingslek in MOVEit Transfer. Ook dit is een applicatie voor het uitwisselen van gegevens. Ondanks de beschikbaarheid van updates voor de twee Cleo-kwetsbaarheden bleek bij een recente meting dat nog zo'n duizend kwetsbare servers vanaf internet benaderbaar waren.