Clopランサムウェア集団(別名 Cl0p)が、新たなデータ窃取型の恐喝キャンペーンで、インターネットに公開されたGladinet CentreStackファイルサーバーを標的にしている。
Clopのサイバー犯罪集団は現在、オンラインに露出したCentreStackサーバーをスキャンして侵害しており、Curated IntelはBleepingComputerに対し、侵害されたサーバーには身代金要求メモが残されていると伝えている。
しかし現時点では、ClopがCentreStackサーバーに侵入するために悪用している脆弱性に関する情報はない。これがゼロデイ欠陥なのか、あるいは以前に修正された不具合で、侵害されたシステムの所有者がまだパッチを適用していないものなのかは不明だ。
「Curated Intelligenceコミュニティのインシデント対応者は、インターネットに面したCentreStackファイルサーバーを標的とする新たなCLOP恐喝キャンペーンに遭遇している」と、脅威インテリジェンス・グループのCurated Intelligenceは木曜日に警告した。
「最近のポートスキャンデータから、『CentreStack – Login』というHTTPタイトルを実行している固有IPが少なくとも200以上あるようで、これらのシステムに存在する不明なCVE(n-dayまたはゼロデイ)を悪用しているCLOPの潜在的な標的となっている。」
Clopのデータ窃取攻撃
Clopはセキュアなファイル転送製品を標的にしてきた長い歴史がある。過去には、恐喝集団がAccellion FTA、GoAnywhere MFT、Cleo、そしてMOVEit Transferのファイル共有サーバーを標的とする、他のデータ窃取キャンペーンの背後にいた。後者は世界中で2,770以上の組織に影響を及ぼした。
直近では、Oracle EBSのゼロデイ脆弱性(CVE-2025-61882)を悪用し、2025年8月上旬以降、多くの組織から機密ファイルを盗み出している。
影響を受けたOracle顧客の一覧には、ハーバード大学、ワシントン・ポスト、GlobalLogic、ペンシルベニア大学、Logitech、そしてアメリカン航空の子会社Envoy Airが含まれる。
システムへの侵入と機密文書の持ち出し後、Clopは盗んだデータをダークウェブ上のリークサイトに公開し、Torrent経由でダウンロード可能にした。
米国務省は、このサイバー犯罪集団の攻撃を外国政府に結び付け得る情報に対して、1,000万ドルの報奨金を提示している。
本日早くにBleepingComputerが連絡を取った時点では、Gladinetの広報担当者は直ちにコメントできる状況ではなかった。
