El grupo de ransomware Cl0p ha listado 43 nuevas víctimas en su sitio de filtraciones, aunque a fecha de redacción de estas líneas el actor de amenazas aún no habría publicado los datos exfiltrados. De acuerdo con un análisis publicado por Cyfirma, de entre estas nuevas víctimas publicadas los sectores más afectados son el industrial (37%), retail (26%) y transporte (14%), con un 72% de las organizaciones ubicadas en EE.UU.
Los investigadores afirman que el grupo, que lleva activo desde al menos principios de 2019 y habría sido relacionado con el actor TA505 (EvilCorp), obtuvo acceso inicial mediante la explotación de la vulnerabilidad crítica CVE-2024-50623 (CVSSv3 9.8) en Cleo, permitiendo la ejecución remota de código. Asimismo, los investigadores destacan que, cuando fue publicado su análisis, más de 1,6 millones de activos estarían empleando versiones vulnerables del software.
Indicadores de Compromiso
Los siguientes son los IOC observados en código abierto con respecto a la vulnerabilidad Cleo explotada por el ransomware Cl0p.
| IOCs | Role |
| 185[.]181.230.103 | Scanning Host |
| 181[.]214.147.164 | Attacker IP embedded in encoded PowerShell |
| 176[.]123.5.126 | Attacker IP embedded in encoded PowerShell |
| 5[.]149.249.226 | Attacker IP embedded in encoded PowerShell |
| 209[.]127.12.38 | Attacker IP embedded in encoded PowerShell |
| 192[.]119.99.42 | Attacker IP embedded in encoded PowerShell |
| 176[.]123.10.115 | Scanning Host |
| 185[.]162.128.133 | C2 |
| 185[.]163.204.137 | Suspected IOC |
| 45[.]182.189.102 | Cobalt Strike server |
| 89[.]248.172.139 | Suspected IOC |
| 103[.]140.62.43 | Suspected IOC |
| 146[.]190.133.67 | Suspected IOC |
| 162[.]240.110.250 | Suspected IOC |
| 213[.]136.77.58 | Suspected IOC |
| 31e0439e6ef1dd29c0db6d96bac59446 | Cl0p Ransomware |