cleo-campaign-2024

# Cleo File Transfer Campaign 2024 - Clop Ransomware > [!high] Campanha de Exfiltração em Massa via File Transfer Platform > Campanha do grupo TA505 (operadores Clop) explorando vulnerabilidades críticas nos produtos de transferência de arquivos Cleo Harmony, VLTrader e LexiCom em dezembro de 2024. Padrão consistente com os ataques MOVEit e GoAnywhere de 2023 - o grupo especializou-se em explorar plataformas de transferência de arquivos corporativas para exfiltração em escala. ## Visão Geral A campanha **Cleo File Transfer 2024** representa mais um capítulo na estratégia de espionagem e extorsão do [[ta505|TA505]] (operadores do [[s0611-clop-ransomware|Clop]]) de identificar e explorar plataformas de transferência de arquivos corporativas como vetor privilegiado de exfiltração em massa. Em 2023, o grupo ganhou notoriedade mundial ao explorar o MOVEit Transfer e o GoAnywhere MFT - desta vez o alvo foram os produtos Cleo Harmony, VLTrader e LexiCom. A vulnerabilidade [[cve-2024-50623|CVE-2024-50623]] (e variantes relacionadas) nos produtos Cleo permitia upload irrestrito de arquivos e execução remota de código sem autenticação, possibilitando ao atacante plantar um backdoor ([[cleopatra-backdoor|Cleopatra]]) no servidor de transferência de arquivos da vítima e exfiltrar todos os dados em trânsito. O aspecto mais crítico desta campanha é o timing: a exploração ocorreu em dezembro de 2024, período de baixo efetivo em equipes de segurança durante as festas de fim de ano - uma estratégia deliberada do TA505 para maximizar o tempo de permanência antes que a vítima detecte o incidente. Dezenas de organizações foram afetadas, com dados de clientes e transações comerciais exfiltrados. O modelo de monetização do grupo é dupla extorsão: venda dos dados e ameaça de públicação no data leak site do Clop, sem necessáriamente criptografar os sistemas da vítima (evolução do modelo ransomware para extorsão pura baseada em dados). **Plataformas:** Windows (servidores Cleo) ## Cadeia de Infecção ```mermaid graph TB A["🔍 Scan de Cleo expostos Shodan/internet scanning identificação de versões"] --> B["💥 Exploit CVE-2024-50623 upload de arquivo malicioso sem autenticação"] B --> C["💾 Cleopatra backdoor implantado no servidor Cleo Harmony/VLTrader"] C --> D["📊 Enumeração de dados mapeamento de arquivos em trânsito e armazenados"] D --> E["📤 Exfiltração massiva dados de clientes, transações arquivos confidenciais"] E --> F["📢 Extorsão data leak site Clop ameaça de publicação"] ``` **Padrão de ataques a file transfer platforms (TA505):** ```mermaid graph TB A["2021 - Accellion FTA CVE-2021-27101 +100 organizações"] --> B["2023 - GoAnywhere MFT CVE-2023-0669 130+ organizações"] B --> C["2023 - MOVEit Transfer CVE-2023-34362 2.700+ organizações"] C --> D["2024 - Cleo Harmony CVE-2024-50623 dezenas de organizações"] D --> E["? - Próxima plataforma padrão estabelecido foco em file transfer"] ``` ## Técnicas Utilizadas | ID | Nome | Fase | |----|------|------| | [[t1190-exploit-public-facing-application\|T1190]] | Exploit Public-Facing Application | CVE-2024-50623 em Cleo sem autenticação | | [[t1505-003-web-shell\|T1505.003]] | Web Shell | Cleopatra backdoor como web shell persistente | | [[t1119-automated-collection\|T1119]] | Automated Collection | Exfiltração automatizada de todos os arquivos | | [[t1048-exfiltration-alternative-protocol\|T1048]] | Exfiltration Over Alternative Protocol | Exfiltração via canais alternativos ao C2 | ## Vulnerabilidade CVE-2024-50623 **CVE-2024-50623** - Cleo Harmony/VLTrader/LexiCom: - CVSS: 9.8 (Crítico) - Tipo: Unrestricted File Upload - Remote Code Execution pré-autenticação - Produtos afetados: Cleo Harmony, VLTrader, LexiCom (versões < 5.8.0.21) - Patch: Dezembro 2024 (exploração ativa antes e durante patch) A falha permitia que qualquer requisição HTTP não autenticada fizesse upload de arquivos para o servidor, incluindo scripts executáveis que eram processados automaticamente pela plataforma Cleo. ## Perfil do TA505 / Clop [[ta505|TA505]] é um dos grupos de crime organizado mais produtivos da história do ransomware: - Opera desde 2014 com TrickBot como vetor inicial - Especializou-se em exploração de file transfer platforms desde 2020 - Modelo de negócio evoluiu de ransomware + extorsão para extorsão pura baseada em dados - Estimativa de lucro: centenas de milhões de USD nos ataques MOVEit/GoAnywhere sozinhos ## Relevância LATAM/Brasil > [!latam] Relevância para o Brasil e América Latina > Empresas brasileiras que transferem arquivos com parceiros americanos que usam Cleo podem ter tido dados expostos. O modelo de exploração de plataformas MFT (GoAnywhere, SFTP customizados) é aplicável ao contexto nacional. Organizações com soluções de transferência de arquivos expostas à internet devem tratar patch management como prioridade crítica. Embora esta campanha específica tenha focado em organizações americanas e europeias, o impacto indireto no Brasil é relevante: 1. **Dados de parceiros e clientes**: Empresas brasileiras que transferem arquivos com parceiros americanos que usam Cleo podem ter tido dados expostos nas instâncias comprometidas dos parceiros 2. **Padrão de ataque replicável**: O modelo de exploração de plataformas de transferência de arquivos (MFT) é aplicável a produtos populares no Brasil - incluindo GoAnywhere e SFTP customizados 3. **Monitoramento de data leaks**: Empresas brasileiras com parceiros americanos devem monitorar o data leak site do Clop por menções a parceiros ou dados relacionados Organizações brasileiras que usam soluções MFT devem implementar patch management urgente e revisão periódica de todas as plataformas de transferência de arquivo expostas à internet. ## Indicadores de Comprometimento > [!ioc]- IOCs - Cleo Campaign 2024 (TLP:GREEN) > **Comportamento característico:** > - Arquivos com extensão incomum em diretórios de upload do Cleo > - Processos `java.exe` ou scripts spawned pelo serviço Cleo > - Conexões de rede saindo do servidor Cleo para IPs externos não documentados > > **Padrões de exfiltração:** > - Transferências de volume alto originadas do servidor Cleo em horário noturno > - Acesso a arquivos de configuração do servidor pelo próprio processo Cleo > > **Fontes:** [Huntress Blog](https://www.huntress.com/blog/cleo-software-zero-day) · [Rapid7 Analysis](https://www.rapid7.com/blog/post/2024/12/11/cleo-CVE-2024-50623/) ## Detecção **Indicadores de comprometimento:** - Arquivos .class, .jar ou .sh em diretórios de upload/processamento do Cleo - Processo Cleo realizando conexões de rede para IPs externos não documentados - Logs de acesso do Cleo com requisições HTTP POST para endpoints não documentados **Fontes de dados:** - **Cleo Application Logs**: Requisições HTTP suspeitas e uploads não autorizados - **Sysmon Event ID 3 (NetworkConnect):** Conexões de rede do processo Cleo - **EDR:** Processos filhos do serviço Cleo em Windows ## Referências - [1](https://www.huntress.com/blog/cleo-software-zero-day) Huntress - Cleo Zero-Day Exploitation Analysis (2024) - [2](https://www.rapid7.com/blog/post/2024/12/11/cleo-CVE-2024-50623/) Rapid7 - CVE-2024-50623 Technical Analysis (2024) - [3](https://attack.mitre.org/groups/G0092/) MITRE ATT&CK - TA505 (G0092) - [4](https://www.bleepingcomputer.com/news/security/clop-ransomware-claims-responsibility-for-cleo-data-theft-attacks/) BleepingComputer - Clop reivindica ataques Cleo (2025)