O grupo de cibercriminosos conhecido como Clop iniciou uma nova campanha de ataques visando servidores corporativos vulneráveis da plataforma Gladinet CentreStack, explorando uma falha ainda não identificada publicamente. A ação tem como objetivo o roubo de dados sensíveis, seguido de extorsão das vítimas, sem necessariamente criptografar os arquivos.
O Clop é uma gangue de ransomware altamente ativa, conhecida por explorar soluções de armazenamento e transferência de arquivos em campanhas de grande impacto. Em campanhas anteriores, o grupo atacou plataformas como MOVEit Transfer, GoAnywhere MFT, Cleo e Accellion FTA, atingindo milhares de empresas globalmente. Agora, os criminosos estão focando no CentreStack, um sistema usado para transformar servidores locais em soluções de armazenamento em nuvem, permitindo acesso remoto a arquivos sem VPN.
A natureza da plataforma, amplamente exposta à internet, a torna um alvo atrativo para invasores que buscam entrada direta em redes corporativas. Pesquisadores de cibersegurança identificaram mais de 200 servidores CentreStack publicamente acessíveis, o que representa uma superfície considerável para ataques automatizados. A falha exata explorada pelo grupo ainda não foi revelada, levantando suspeitas de que se trate de um zero day ou de falhas conhecidas e não corrigidas.
Ao comprometer os servidores, o grupo exfiltra dados confidenciais como documentos internos, arquivos financeiros e dados de clientes. Em vez de criptografar o sistema, como em ataques clássicos de ransomware, a Clop pressiona as vítimas ameaçando divulgar ou vender os dados em fóruns clandestinos, caso não recebam o pagamento exigido.
Essa abordagem tem se tornado comum entre grupos sofisticados que buscam extorquir as vítimas com menor risco operacional, evitando alarmes automáticos associados à criptografia de arquivos. Isso também acelera o ataque e torna a resposta mais difícil para equipes de TI e segurança.
