NCSC waarschuwt voor CI0p-campagnes gericht op filetransfer-systemen

Het goede nieuws is dat ontwikkelaar Cleo inmiddels beveiligingsupdates beschikbaar heeft gesteld die de kwetsbaarheden verhelpen. Organisaties moeten die updates zelf doorvoeren, blijkt uit documentatie op supportpagina’s van Cleo.

Volgens het NCSC lijkt de Cleo-campagne van CI0p in grote mate op eerdere cybercrimecampagnes van de groep. Eerder richtte de groep zich op kwetsbaarheden in programma’s als GoAnywhere MFT en MOVEit Transfer. Het valt het NCSC op dat de groep waarschijnlijk gratis proefversies van programma’s doorspit om er exploits voor te ontwikkelen, geen ransomware toepast en webshells gebruikt om data van besmette systemen buit te maken. Wie geen losgeld betaalt, ziet zijn data volgens CI0p op het internet verschijnen. Maar betalen is géén garantie dat de data verwijderd wordt, benadrukt het NCSC.

De hackers beschikken volgens het NCSC over ‘geavanceerde technieken’ zoals het ontwikkelen van exploits bij ontdekte zeroday-kwetsbaarheden, en richten hun pijlen niet specifiek op een bepaald land of industrie. De groep schiet breed om zoveel mogelijk slachtoffers te maken, en daar geld aan te verdienen. Het NCSC acht de kans ‘waarschijnlijk’ dat CI0p deze tactiek blijft toepassen en geeft organisaties daarom de nodige tips om zichzelf zo goed mogelijk te beschermen tegen CI0p en andere kwaadwillenden.