Ga direct naar inhoud

NCSC waarschuwt voor Cl0p-campagnes die zich richten op filetransfer-systemen

Nieuwsbericht | 06-02-2025 | 16:21

In het najaar van 2024 heeft de cybercrimegroep Cl0p zeroday-kwetsbaarheden in producten van softwarebedrijf Cleo misbruikt voor het exfiltreren van gegevens en het afpersen van klanten. (1) Het gaat om kwetsbaarheden in de producten Cleo Harmony, Cleo VLTrader en Cleo LexiCom. Cleo heeft inmiddels beveiligingsupdates beschikbaar gesteld om de kwetsbaarheden te dichten. (2, 3)

Het NCSC houdt trends en ontwikkelingen op het gebied van cybercrime in de gaten en zo ook die van Cl0p. Sinds 2020 heeft de cybercrimegroep Cl0p meerdere campagnes uitgevoerd waarbij zeroday-kwetsbaarheden in filetransfer-applicaties, Accellion FTA (4, 5), GoAnywhere MFT (6) en MOVEit Transfer (7), zijn misbruikt om gegevens te exfiltreren en slachtoffers af te persen. Ook in de recente campagne gericht op Cleo-producten gaat het om kwetsbaarheden in filetransfer-applicaties.

In deze campagnes heeft Cl0p een groot aantal slachtoffers gemaakt waaronder in Nederland tijdens de Accellion FTA-campagne en de MOVEit Transfer-campagne. De campagnes richten zich niet op specifieke landen of sectoren, maar zijn opportunistisch van aard. Het motief van de aanvallen is financieel gewin. Onderaan dit artikel vind je maatregelen die jouw organisatie kan toepassen.

Het NCSC acht het waarschijnlijk dat Cl0p in de toekomst dit soort campagnes blijft uitvoeren. De impact van toekomstige campagnes op Nederlandse organisaties is afhankelijk van het type product, het gebruik van dit product in Nederland en van een mogelijke doorontwikkeling van deze modus operandi van Cl0p.

De groep beschikt over geavanceerde technieken. Dat is onder andere af te leiden van het door de groep ontdekken van zeroday-kwetsbaarheden, het ontwikkelen van exploits en het inzetten van op de kwetsbaarheid en applicatie afgestemde webshells.

Analyse

Het NCSC heeft in 2023 reeds onderzoek gedaan naar de modus operandi van Cl0p bij de campagnes gericht op Accellion FTA, GoAnywhere MFT en MOVEit Transfer. Recent heeft het NCSC ook nog onderzoek gedaan naar de modus operandi van de campagne gericht op Cleo-applicaties. Er is een grote mate van overlap zichtbaar tussen deze recente en de eerder genoemde campagnes die Cl0p heeft uitgevoerd.

  • Van alle genoemde applicaties is of was een gratis trialversie beschikbaar. Het NCSC acht het voorstelbaar dat Cl0p deze trialversies gebruikt heeft om kwetsbaarheden te vinden en hiervoor exploits te ontwikkelen. Voor zover bekend zijn enkel internet-facing applicaties gecompromitteerd. Er zijn geen signalen dat Cl0p systemen van binnenuit een netwerk heeft gecompromitteerd of dat lateral movement heeft plaatsgevonden.
  • Net als bij de campagnes gericht op Accelion FTA (8) en MOVEit Transfer (9), is bij de campagne op Cleo-applicaties een webshell ingezet die op de specifieke kwetsbaarheden en applicaties is afgestemd. Deze webshells zijn onder andere gebruikt voor het exfiltreren van data van het slachtoffer. Daarnaast hebben ze elk hun eigen set aan opties. Zo hebben een aantal webshells de mogelijkheid tot het verwijderen van indicators-of-compromise op gecompromitteerde systemen.
  • Net als bij de eerdere campagnes is er bij de aanval op Cleo-applicaties geen ransomware uitgerold. Er is enkel sprake van data-exfiltratie. Cl0p heeft deze data gebruikt om slachtoffers af te persen door losgeld te eisen. Wanneer slachtoffers niet aan de losgeldeis van Cl0p voldoen, dreigt Cl0p buitgemaakte gegevens op het internet te publiceren. Let wel, het voldoen aan een losgeldeis is nooit een garantie dat een kwaadwillende de data niet publiceert. 
  • Het enkel exfiltreren van data zonder data via ransomware te versleutelen, is een tactiek die ook door andere cybercrimegroepen wordt toegepast. Zo hebben groepen als Karakurt (10), Ransomhouse en BianLian (11) in het verleden deze zelfde tactiek gebruikt om slachtoffers af te persen. 

Handelingsperspectief

Maak een strikte afweging welke applicaties vanaf het internet benaderbaar moeten zijn

Filetransfer-applicaties worden veelal gebruikt voor het delen van bestanden met externe partijen. Dit soort applicaties zijn daarom vaak vanaf het internet bereikbaar. Access control lists (ACL) bieden mogelijk een oplossing wanneer internet-facing applicaties enkel voor een bekende groep gebruikers beschikbaar moet zijn. 


Voer een strikte "default-deny" Access Control List (ACL) strategie in om uitgaand verkeer te beheersen. Zorg ervoor dat al het geweigerde uitgaande
verkeer wordt gelogd, indien mogelijk, log ook de toegestane verbindingen.

Zie hiervoor de NCSC-basisprincipes “Breng je risico's in kaart” en "Bescherm systemen, applicaties en apparaten".

Implementeer Zero Trust-principes

Organisaties die Zero Trust omarmen zijn minder vatbaar voor externe aanvallen en dreigingen van binnenuit. Zero Trust-principes kunnen helpen om de bewegingsvrijheid van kwaadwillenden op een gecompromitteerd netwerk te beperken. Het bemoeilijkt kwaadwillenden om binnen het netwerk lateraal te bewegen, verhoogde gebruikersrechten te bemachtigen, en data te exfiltreren.

Meer informatie over Zero Trust is te vinden in de NCSC -factsheet “Bereid u voor op Zero Trust”.

Organiseer vulnerabilitymanagement, patchmanagement en netwerksegmentering

Een effectief patchmanagementproces voorkomt op zichzelf niet dat een zeroday-kwetsbaarheid in de IT-omgeving wordt misbruikt. Het is daarom goed om uit te gaan van het "Assume Breach"-principe.

Door snel en effectief beveiligingsupdates te installeren voorkom je wel dat een kwetsbaarheid in een later stadium wordt misbruikt. Vulnerabilitymanagement helpt om zulke kwetsbaarheden in kaart te brengen zodat deze beheerst kunnen worden. Netwerksegmentatie helpt je bij het beperken van de impact wanneer een kwetsbaarheid wordt misbruikt. 

Zie hiervoor het NCSC-basisprincipe "Bescherm systemen, applicaties en apparaten".

Wapen je tegen mogelijke data-exfiltratie

Het is belangrijk om data-exfiltratie snel te kunnen detecteren en te stoppen. Daarom is aan te raden om continue monitoring van je eigen netwerk in te richten. Zorg daarnaast dat loggegevens veilig worden opgeslagen en voor een langere periode worden bewaard. Een andere maatregel is het gebruik van kanarie-bestanden in uw authentieke documenten om op deze wijze data-exfiltratie te detecteren. Ten slotte raden we aan om indien mogelijk standaard internettoegang van servers te blokkeren of ten minste te beperken via een firewall.

Zie voor meer informatie en andere maatregelen het Cyberveilig Nederland (CVNL) whitepaper “Data-exfiltratie”

Zorg voor een incident-responsplan

Het is goed om voorbereid te zijn voor het moment dat jouw organisatie toch slachtoffer wordt van een digitale aanval. In de NCSC-publicatie "Incidentresponse: waar begin ik?" vind je handvatten voor het opstellen van een incidentresponseplan.