Februarie a fost o luna cu cele mai multe atacuri ransomware revendicate de către infractorii cibernetici. Aproape o treime din victimele totale au fost revendicate de gruparea Cl0p.
Acest grup a reușit să exploateze două vulnerabilități critice în aplicația de transfer de fișiere Cleo Harmony, care fuseseră raportate public anterior în lunile octombrie și decembrie ale anului trecut.
Aproape 1,000 atacuri ransomware revendicate
Un raport al companiei de securitate informatică Bitdefender, arată că în februarie 2025 atacurile ransomware revendicate de cibercriminali au înregistrat cel mai mare număr din istorie, conform analizei informației publicate pe site-urile grupărilor ransomware (DLS – data leak sites).
În total, au fost listate 962 de atacuri asupra companiilor din întreaga lume, din care 335 au fost revendicate de Cl0p ransomware, gruparea înregistrând o creștere de 300% față de luna precedentă.
Comparativ cu luna februarie de anul trecut, în februarie 2025 numărul atacurilor pretinse de grupările ransomware a crescut de la 425 cu 126%.
Vulnerabilități critice exploatate de Cl0p
Grupul Cl0p a exploatat două vulnerabilități critice în platformele de transfer de fișiere Cleo Harmony, VLTrader, și LexiCom, identificate ca CVE-2024-50623 și CVE-2024-55956. Atacatorii s-au folosit de aceste probleme de securitate pentru a executa cod pe sistemele afectate vizate.
Exploatarea vulnerabilităților e posibilă fără a fi nevoie de autentificare și permite fie upload/download de fișiere fără niciun fel de restricții, fie importarea și execuția de comenzi Bash și PowerShell.
Cl0p a confirmat în decembrie că au exploatat cele două vulnerabilități ca zero-days pentru a compromite rețele de companii și a fura date de business, parteneri, sau clienți.
Numărul total de companii atacate prin vulnerabilitățile din Cleo rămâne necunoscut, dar la sfârșitul lui decembrie anul trecut hackerii de la Cl0p au listat 66 de victime, doar cele care nu răspunseseră cerințelor de răscumpărare.
Cele mai active grupări ransomware
Conform analizei Bitdefender, pe piața ransomware-as-a-service (RaaS) gruparea Cl0p a fost cea mai prolifică în luna februarie, judecând după numărul de atacuri revendicate.
La o distanță de mai mult de 200 victime, este gruparea RansomHub, care doar luna aceasta a publicat 28 de companii ale căror rețele le-a compromis.
Pe locul al treilea se află gruparea Akira, care a demonstrat hotărârea în a duce la bun sfârșit un atac prin pivotarea spre un webcam neprotejat din rețea pentru a cripta date.
Birdefender are câteva recomandări ce pot ajuta companiile să-și îmbunătățească apărarea împotriva atacatorilor. Prioritizarea instalării actualizărilor de securitate este pe primul loc, mai ales ținând cont de catalogul KEV cu vulnerabilități cunoscute ca fiind exploatate.
Un alt sfat este verificarea rețelei de amenințări ascunse, precum backdoors plantate la o breșă inițială în așteptarea momentului potrivit pentru a finaliza atacul.
Experții mai recomandă și utilizarea de soluții EDR (endpoint detection and response) și/sau XDR (extended detection and response) în combinație cu analiză SOC (Security Operations Center) și sau Managed Detection and Response (MDR).
