Киберпреступная группировка Clop утверждает, что за последние 10 дней осуществила множество успешных атак, сумев похитить данные более 130 различных организаций. Об этом сами хакеры сообщили ресурсу Bleeping Computer. Успеху атак способствовала эксплуатация уязвимости CVE-2023-0669 в программном обеспечении GoAnywhere MFT. Это инструмент безопасной передачи файлов, который разработан компанией Fortra и широко используется множеством крупных компаний и организаций.

Уязвимость позволяет злоумышленнику удаленно выполнять произвольный код на устройствах, административная панель GoAnywhere MFT которых открыта для доступа в интернет. На момент обнаружения она являлась уязвимостью нулевого дня. Представители Fortra сообщили об уязвимости 2 февраля, а экстренное обновление ПО, устраняющее проблему, было выпущено 7 числа того же месяца. Однако хакеры Clop уверяют, что начали эксплуатировать проблему еще раньше. Они также утверждают, что эксплуатация уязвимости открывала перед ними возможность горизонтального перемещения внутри взломанных систем. Таким образом, киберпреступники могли инфицировать системы жертв вымогательским ПО. Тем не менее хакеры приняли решение ограничиться похищением данных, хранившихся на скомпрометированных серверах GoAnywhere MFT.

Впрочем, на уточняющие вопросы представителей Bleeping Computer хакеры не ответили. Они не представили каких-либо документов, которые могли бы подтвердить факт похищения, а также отказались сообщать, ведут ли они переговоры с жертвами, и о каких суммах выкупа за отказ от публикации украденной информации может идти речь. Компания Fortra со своей стороны выпустила еще одно обновление ПО и признала, что ряд устройств, использующих GoAnywhere MFT, пострадал от неавторизованного доступа третьих лиц. По данным поисковой системы интернета вещей Shodan на данный момент доступ в интернет имеют более 1000 устройств, на которых установлено ПО GoAnywhere MFT с неисправленной уязвимостью CVE-2023-0669.