# Cleo File Transfer Exploitation 2024 > [!high] > A partir de outubro de 2024, o grupo **Clop** explorou duas vulnerabilidades críticas em produtos de transferência de arquivos da **Cleo** (Harmony, VLTrader e LexiCom), comprometendo centenas de organizações globalmente. A campanha é a mais recente de uma série de ataques Clop a plataformas MFT, seguindo MOVEit (2023) e GoAnywhere (2023). ## Visão Geral O [[s0611-clop-ransomware]] (também rastreado como TA505 e FIN11) é um dos grupos de ransomware mais prolíficos da história, com histórico de exploração em massa de vulnerabilidades zero-day em plataformas de transferência gerenciada de arquivos (MFT). Em outubro de 2024, o grupo iniciou a exploração da vulnerabilidade [[CVE-2024-50623]] no software Cleo — uma falha de traversal de diretório não autenticada que permite leitura e escrita arbitrária de arquivos no servidor. Em dezembro de 2024, pesquisadores da Huntress documentaram exploração ativa em larga escala, mesmo em sistemas com o patch da Cleo aplicado. Isso levou à descoberta de uma segunda vulnerabilidade, [[CVE-2024-55956]], que permitia upload de arquivos arbitrários e execução remota de código via exploração do diretório autorun. A Cleo lançou um patch adicional, mas o Clop já havia comprometido dezenas de organizações. O modus operandi seguiu o padrão estabelecido em campanhas anteriores: exploração silenciosa de uma plataforma amplamente adotada por empresas para transferência de dados sensíveis entre parceiros — fornecedores, operadores logísticos, varejistas e instituições financeiras. Ao invés de criptografar dados, o [[s0611-clop-ransomware]] priorizou a **exfiltração pura** para fins de extorsão dupla, ameaçando vazar dados de empresas que não pagassem o resgaté. Até o início de 2025, o grupo havia listado mais de 60 organizações em seu site de vazamentos, incluindo empresas de [[logistics|logística]], varejo e saúde. O número real de comprometimentos foi estimado em centenas, dado que a Cleo tem base instalada de mais de 4.000 clientes globais. ## Attack Flow ```mermaid graph TB A["🔍 Reconhecimento<br/>Shodan/Censys: servidores<br/>Cleo expostos na internet"] --> B["💥 Exploração CVE-2024-50623<br/>Directory traversal não autenticado<br/>Leitura/escrita de arquivos"] B --> C["📂 Upload via autorun<br/>CVE-2024-55956: script XML<br/>malicioso em pasta autorun/"] C --> D["💻 Execução de Código<br/>PowerShell/cmd via<br/>processo Cleo legítimo"] D --> E["🔗 Implantação de Backdoor<br/>Cobalt Strike beacon<br/>webshell Java"] E --> F["📤 Exfiltração de Dados<br/>Arquivos MFT sensíveis<br/>extraídos para C2 Clop"] F --> G["💰 Extorsão Dupla<br/>Ameaça de publicação<br/>resgaté em BTC/XMR"] ``` ## Cronologia ```mermaid timeline title Cleo File Transfer Exploitation - Linha do Tempo Out 2024 : CVE-2024-50623 publicada (CVSS 8.8) : Cleo lança patch inicial Nov 2024 : Exploração silenciosa iniciada pelo Clop : Centenas de servidores comprometidos Dez 2024 : Huntress documenta exploração ativa : Descoberta CVE-2024-55956 (bypass do patch) : CISA emite alerta de emergência Ján 2025 : Clop lista 60+ organizações no leak site : Empresas notificadas por pesquisadores Fev 2025 : Negociações de extorsão em andamento : Segundo patch Cleo distribuído ``` ## TTPs Principais | Tática | Técnica | Detalhe | |--------|---------|---------| | Acesso Inicial | [[T1190-exploit-public-facing-application\|T1190]] | CVE-2024-50623 e CVE-2024-55956 em Cleo MFT | | Execução | [[T1059.001-command-and-scripting-interpreter-powershell\|T1059.001]] | PowerShell via processo Cleo para setup de backdoor | | Persistência | Webshell Java | Shell implantado no diretório de aplicação Cleo | | C2 | [[T1071.001-application-layer-protocol-web-protocols\|T1071.001]] | Cobalt Strike via HTTPS para infraestrutura Clop | | Exfiltração | [[T1041-exfiltration-over-c2-channel\|T1041]] | Dados MFT enviados para servidores controlados pelo Clop | | Impacto | [[T1486-data-encrypted-for-impact\|T1486]] | Extorsão por exfiltração - sem criptografia nos alvos | ## Vítimas e Impacto - **60+ organizações listadas** no leak site do Clop até janeiro de 2025 - **Setores afetados**: logística, varejo, saúde, manufatura, serviços financeiros - **Levi Strauss**: confirmou comprometimento de dados de funcionários e parceiros - **Hertz**: afetada via fornecedor de serviços logísticos - **Base instalada Cleo**: 4.000+ clientes globais — escala potencial de comprometimento elevada - **Impacto estimado**: centenas de organizações comprometidas antes do patch final ## Relevância LATAM Embora os alvos documentados estejam concentrados na América do Norte, a exploração de plataformas MFT é uma ameaça diretamente relevante para o setor corporativo latino-americano. Empresas brasileiras de logística, varejo e [[financial|setor financeiro]] frequentemente adotam soluções como Cleo, MOVEit e GoAnywhere para transferências B2B. O [[s0611-clop-ransomware]] demonstrou capacidade de operar globalmente com campanhas oportunistas — qualquer organização com instância Cleo exposta à internet estava em risco. Organizações na região devem inventariar soluções MFT e aplicar patches críticos dentro de 24-48 horas após públicação. ## Mitigação - Aplicar imediatamente os patches Cleo para [[CVE-2024-50623]] e [[CVE-2024-55956]] (versão 5.8.0.21+) - Restringir acesso a instâncias MFT à rede interna ou VPN — nunca expor diretamente à internet - Monitorar logs de acesso do Cleo para leituras/escritas anômalas em diretórios de sistema - Implementar detecção de webshells em diretórios de aplicação (arquivos `.jsp`, `.class` não esperados) - Realizar varredura de IOCs públicados pela Huntress e CISA em ambientes potencialmente afetados - Revisar política de resposta a incidentes para plataformas MFT críticas ## Referências - [1](https://www.huntress.com/blog/threat-advisory-oh-no-cleo-cleo-software-actively-being-exploited) Huntress - Threat Advisory: Cleo Software Actively Being Exploited (2024) - [2](https://www.bleepingcomputer.com/news/security/clop-ransomware-claims-responsibility-for-cleo-data-theft-attacks/) BleepingComputer - Clop Claims Responsibility for Cleo Data Theft Attacks (2024) - [3](https://www.cisa.gov/news-events/alerts/2024/12/13/cisa-adds-one-known-exploited-vulnerability-catalog-cleo) CISA KEV - Cleo CVE-2024-55956 Added (2024) - [4](https://securityaffairs.com/172500/cyber-crime/clop-ransomware-cleo-zero-day.html) Security Affairs - Clop Ransomware Cleo Zero-Day (2024) - [5](https://www.rapid7.com/blog/post/2024/12/13/cleo-file-transfer-software-vulnerabilities-what-you-need-to-know/) Rapid7 - Cleo File Transfer Vulnerabilities (2024)