Clopランサムウェア、Gladinet CentreStackを標的に
悪名高いClopランサムウェアグループ(別名Cl0p)が、インターネットに公開されているGladinet CentreStackファイルサーバーを新たなデータ窃取・恐喝キャンペーンの標的にしています。Gladinet CentreStackは、企業が社内ファイルサーバーに保存されたファイルを、VPNを必要とせずにWebブラウザ、モバイルアプリ、マップされたドライブを通じて安全に共有できるサービスです。Gladinetによると、このサービスは「49カ国以上、数千の企業で利用されている」とのことです。
Curated IntelはBleepingComputerに対し、Clopの攻撃によって侵害されたサーバーには身代金要求のメモが残されていると報告しています。現在のところ、ClopがCentreStackサーバーをハッキングするために悪用している具体的な脆弱性に関する情報はありません。これがゼロデイ脆弱性なのか、それともパッチが適用されていない既知の脆弱性なのかは不明です。
脅威インテリジェンスグループのCurated Intelligenceは木曜日に、「Curated Intelligenceコミュニティのインシデントレスポンダーは、インターネットに面したCentreStackファイルサーバーを標的とした新たなCLOP恐喝キャンペーンに遭遇した」と警告しました。さらに、「最近のポートスキャンデータによると、200以上のユニークなIPが『CentreStack – Login』というHTTPタイトルを実行しており、CLOPがこれらシステムで未知のCVE(n-dayまたはゼロデイ)を悪用している潜在的な標的となっている」と付け加えています。
Clopによる過去の著名なデータ窃取攻撃
Clopは、安全なファイル転送製品を標的とする長い歴史を持っています。過去には、Accellion FTA、GoAnywhere MFT、Cleo、そしてMOVEit Transferファイル共有サーバーに対するデータ窃取キャンペーンの背後におり、後者の攻撃は世界中で2,770以上の組織に影響を与えました。
最も最近では、2025年8月初旬以降、Oracle EBSのゼロデイ脆弱性(CVE-2025-61882)を悪用して、多くの組織から機密ファイルを窃取しました。このOracle EBS攻撃による被害顧客には、以下の組織が含まれています。
- ハーバード大学
- The Washington Post
- GlobalLogic
- ペンシルベニア大学
- Logitech
- アメリカン航空子会社Envoy Air
攻撃手法と国際的な動き
Clopは、システムを侵害して機密文書を窃取した後、盗んだデータをダークウェブのリークサイトで公開し、Torrent経由でダウンロードできるようにしています。米国務省は、このサイバー犯罪集団の攻撃と外国政府との関連に関する情報に対して、1,000万ドルの報奨金を提供しています。
Gladinetの対応と今後の課題
Gladinetは4月以降、攻撃で悪用されたいくつかのセキュリティ脆弱性に対処するためのセキュリティアップデートをリリースしてきました。しかし、今回のClopによる攻撃で悪用された脆弱性が具体的に何であるかについては、依然として情報が不足しており、今後の動向が注目されます。