O grupo de cibercriminosos conhecido como Clop (ou Cl0p) iniciou uma nova campanha de extorsão e roubo de dados, focando-se agora em servidores de ficheiros Gladinet CentreStack expostos na Internet. Esta ofensiva marca mais um capítulo na longa lista de ataques do grupo contra plataformas de transferência segura de ficheiros.
O Gladinet CentreStack é uma solução utilizada por milhares de empresas em quase 50 países, permitindo a partilha segura de ficheiros alojados em servidores locais através de navegadores web e aplicações móveis, sem a necessidade de uma VPN. Desde abril, a empresa tem lançado várias atualizações de segurança para corrigir vulnerabilidades que foram exploradas em ataques anteriores, algumas das quais classificadas como zero-day.
Alvos expostos e método incerto
A nova vaga de ataques foi identificada por analistas de segurança, que observaram o grupo Clop a analisar e a violar servidores CentreStack acessíveis online. Segundo as informações divulgadas pela Curated Intelligence, os atacantes estão a deixar notas de resgate nos servidores comprometidos, indicando que o objetivo principal é a extorsão após o roubo de dados.
Atualmente, ainda não existe confirmação sobre qual a vulnerabilidade específica que o Clop está a explorar para obter acesso a estes sistemas. Permanece a dúvida se os criminosos estão a utilizar uma falha zero-day (desconhecida pelos criadores do software) ou se estão a aproveitar-se de bugs já corrigidos em sistemas que os administradores ainda não atualizaram. Dados recentes de varrimento de portos indicam que existem pelo menos mais de 200 endereços IP únicos a executar o portal de login do CentreStack, tornando-os alvos potenciais para esta campanha.
Um histórico de ataques a grandes organizações
O grupo Clop possui um historial notório de ataques a produtos de transferência de ficheiros. No passado, foram responsáveis por campanhas massivas contra servidores Accellion FTA, GoAnywhere MFT e MOVEit Transfer, este último afetando milhares de organizações globalmente.
Mais recentemente, desde o início de agosto de 2025, o grupo explorou uma falha zero-day na Oracle EBS (CVE-2025-61882) para exfiltrar documentos sensíveis de várias entidades de renome. Entre as vítimas listadas encontram-se a Universidade de Harvard, o The Washington Post e a Logitech. Após o roubo, o grupo tem por hábito publicar os dados roubados na sua página na dark web, disponibilizando-os frequentemente através de torrents.
A gravidade e a persistência destes ataques levaram o Departamento de Estado dos EUA a oferecer uma recompensa de 10 milhões de dólares por qualquer informação que permita ligar as atividades deste grupo de ransomware a um governo estrangeiro.
Nenhum comentário
Seja o primeiro!