概要:Gladinet CentreStackがClopランサムウェアの標的に
悪名高いClopランサムウェアグループが、インターネットに公開されているGladinet CentreStackファイルサーバーを標的とした新たなデータ恐喝キャンペーンを開始しました。彼らは未公開の脆弱性(n-dayまたはゼロデイ)を悪用し、企業の機密情報を窃取している模様です。
このキャンペーンは、Curated Intelligenceコミュニティのインシデントレスポンダーによって最初に特定されました。Clopによる企業ファイル転送・ストレージソリューションを狙った一連の攻撃の最新事例となります。
Clopの攻撃戦略とCentreStackの魅力
Gladinetが開発したCentreStackは、従来のファイルサーバーをクラウドベースのストレージプラットフォームに変革する企業向けファイル同期および共有ソリューションです。セキュアなリモートアクセスを可能にするため、脅威アクターにとって企業の機密データを入手する魅力的な標的となっています。
Clopグループは、これまでにも同様のプラットフォームの脆弱性を悪用して大規模な攻撃を行うことで知られています。過去にはOracle E-Business Suite、Cleo FTPサーバー、MOVEit Transfer、CrushFTP、SolarWinds Serv-U、PaperCut、GoAnywhere MFTなどが標的とされてきました。
Clopの戦略は、広く展開されているファイル転送ソリューションの脆弱性を特定し、悪用することで、潜在的な被害者層を最大化することに焦点を当てています。これらのシステムを侵害することで、攻撃者は機密文書、財務記録、知的財産、個人情報にアクセスします。窃取されたデータは恐喝キャンペーンの材料として利用され、Clopは身代金が支払われなければ情報を公開すると脅迫します。
脆弱性の現状と推奨される防御策
現在、悪用されている脆弱性の正確な性質は不明であり、CVE識別子も割り当てられていません。しかし、最近のポートスキャンデータによると、「CentreStack – Login」というHTTPタイトルで識別されるシステムを稼働している少なくとも200以上のユニークなIPアドレスが潜在的な標的となっています。
セキュリティ専門家は、この脅威の緊急性を強調しており、CentreStackを使用している組織に対し、セキュリティコミュニティが脆弱性を特定しパッチを適用する間、直ちに防御策を講じるよう強く推奨しています。
CentreStackユーザー向けの推奨アクション:
- システムログを直ちに確認し、不審なアクティビティがないか監視する。
- ネットワークセグメンテーションやファイアウォールルールを通じて、CentreStackサーバーへのインターネットアクセスを制限する。
- すべてのアクセスポイントに多要素認証(MFA)を実装する。
- 異常なデータ転送アクティビティを監視する。
- 攻撃者によって暗号化または削除されないように、重要なデータの安全なオフラインバックアップを維持する。
この事件は、Clopのようなランサムウェアグループが、脆弱なシステムを継続的にスキャンし、新たに発見された脆弱性を迅速に武器化するという、執拗な脅威を浮き彫りにしています。組織は警戒を怠らず、定期的にシステムにパッチを適用し、重要なファイル転送インフラのインターネット公開を制限することで攻撃対象領域を最小限に抑える必要があります。CentreStackを展開しているネットワーク管理者は、セキュリティ評価を優先し、Gladinetから脆弱性に関する詳細情報や潜在的なパッチが提供されるまで、一時的に外部アクセスを制限することを検討すべきです。