La banda de ransomware Clop ha dado un paso audaz al publicar una lista de docenas de empresas que, según afirma, fueron víctimas de un ciberataque masivo tras explotar una vulnerabilidad crítica en varios productos de transferencia de archivos empresariales de la compañía estadounidense Cleo. En un comunicado publicado en su sitio de filtraciones en la web oscura, Clop reveló que accedió a datos de 59 organizaciones utilizando una falla en los sistemas LexiCom, VLTransfer y Harmony de Cleo.
Cleo había detectado la vulnerabilidad desde octubre de 2024, pero fue en diciembre cuando los ciberdelincuentes comenzaron a explotar activamente el error, lo que generó una ola de intrusiones. Según los informes de Clop, las organizaciones afectadas fueron notificadas, aunque muchas de ellas han rechazado negociar con los atacantes. La banda amenaza con publicar los datos robados el 18 de enero a menos que se cumplan sus exigencias de rescate.
El ataque a las herramientas de transferencia de archivos resalta la creciente popularidad de este tipo de software como blanco para los ataques de ransomware, dada la sensibilidad de los datos que suelen manejar. En el pasado, Clop ya había explotado vulnerabilidades en otros productos de transferencia de archivos, como MOVEit Transfer de Progress Software y GoAnywhere de Fortra, lo que sugiere una estrategia consolidada de dirigirse a este tipo de plataformas.
Confirmación y Negativas: Empresas Responden
Al menos una empresa, el gigante alemán Covestro, ha confirmado que sus sistemas fueron comprometidos. Según la compañía, los atacantes accedieron a un servidor logístico en Estados Unidos, donde se intercambiaba información con proveedores de transporte. A pesar del acceso no autorizado, Covestro aseguró que la mayoría de los datos comprometidos no eran sensibles y que ya se habían implementado medidas de seguridad adicionales.
Sin embargo, varias otras empresas mencionadas por Clop han negado cualquier violación de seguridad. Hertz, el gigante estadounidense de alquiler de autos, indicó que no había evidencia de que sus sistemas estuvieran comprometidos, mientras que la empresa australiana de logística Linfox cuestionó las afirmaciones de Clop, destacando que no utiliza el software de Cleo y que no había experimentado ningún incidente cibernético reciente.
Otras organizaciones como Arrow Electronics y Western Alliance Bank también han desmentido las acusaciones, sin encontrar pruebas de un ataque.
Próximos Pasos: Más Filtraciones a la Vista
Aunque algunas empresas aún investigan el alcance de los ataques, la amenaza de Clop persiste, con la promesa de publicar más información robada si sus demandas no son satisfechas. A medida que la situación evoluciona, se espera que más organizaciones se sumen a la lista de víctimas expuestas, mientras Cleo y las empresas afectadas continúan trabajando en la protección de sus sistemas.
A medida que el caso sigue desarrollándose, la comunidad de ciberseguridad se mantiene alerta, ya que el grupo Clop ha demostrado ser una amenaza persistente y sofisticada en el panorama global de ransomware.
