Het Nationaal Cyber Security Centrum (NCSC) waarschuwt organisaties voor aanvallen op filetransfer-applicaties, zoals uitgevoerd door de Cl0p-groep. Ook in Nederland zijn er slachtoffers van deze aanvallen, aldus de overheidsinstantie. Bij de aanvallen maakt de groepering misbruik van onbekende kwetsbaarheden in oplossingen voor het uitwisselen van bestanden, om vervolgens toegang tot de bestandsserver te krijgen en allerlei vertrouwelijke data te stelen. De gestolen gegevens worden vervolgens gebruikt om de betreffende organisatie mee af te persen.

Zo werden in 2023 bijna 2800 organisaties slachtoffer van de Cl0p-groep, die toen misbruik maakte van een beveiligingslek in MOVEit Transfer. Daarbij werden gegevens van bijna 96 miljoen personen gestolen. Ook gebruikte de groep kwetsbaarheden in filetransfer-applicaties Accellion FTA en GoAnywhere MFT voor het stelen van data en afpersen van bedrijven. Eind vorig jaar sloeg de groep opnieuw toe, toen via kwetsbaarheden in de bestandsuitwisselingssoftware van softwarebedrijf Cleo. Via kwetsbaarheden in Cleo Harmony, Cleo VLTrader en Cleo LexiCom claimde de Cl0p-groep bij zeker zestig bedrijven en organisaties data te hebben buitgemaakt.

"In deze campagnes heeft Cl0p een groot aantal slachtoffers gemaakt waaronder in Nederland tijdens de Accellion FTA-campagne en de MOVEit Transfer-campagne. De campagnes richten zich niet op specifieke landen of sectoren, maar zijn opportunistisch van aard", aldus het NCSC. Volgens de overheidsinstantie beschikt de groep over geavanceerde technieken. "Dat is onder andere af te leiden van het door de groep ontdekken van zeroday-kwetsbaarheden, het ontwikkelen van exploits en het inzetten van op de kwetsbaarheid en applicatie afgestemde webshells."

Advies NCSC

Het NCSC doet organisaties die met filetransfer-applicaties werken verschillende aanbevelingen. Zo moeten organisaties goed kijken welke applicaties vanaf internet benaderbaar moeten zijn. Ook wordt het gebruik van Access control lists (ACL) aangeraden. "Voer een strikte "default-deny" Access Control List (ACL) strategie in om uitgaand verkeer te beheersen. Zorg ervoor dat al het geweigerde uitgaande verkeer wordt gelogd, indien mogelijk, log ook de toegestane verbindingen."

Verder adviseert het NCSC om continue monitoring van het eigen netwerk in te richten, om zo datadiefstal te kunnen detecteren en stoppen. Tevens wordt aangeraden om loggegevens veilig op te slaan en voor een langere periode te bewaren. "Een andere maatregel is het gebruik van kanarie-bestanden in uw authentieke documenten om op deze wijze data-exfiltratie te detecteren. Ten slotte raden we aan om indien mogelijk standaard internettoegang van servers te blokkeren of ten minste te beperken via een firewall."