Cl0p勒索软件集团最近发布了其Linux变体的新闻，声称其利用GoAnywhere MFT安全文件传输工具中的零日RCE漏洞，从数百个组织窃取了数据。

关于攻击活动

Cl0p小组告诉BleepingComputer，在利用CVE-2023-0669漏洞后的10天内，他们从130多个组织窃取了数据。

该小组能够通过暴露于互联网访问的管理控制台在未修补的GoAnywhere MFT实例上获得远程代码执行功能。

根据该声明，黑客可以通过受害者的网络横向移动，并部署勒索软件有效载荷来加密他们的系统。

然而尽管如此，它只窃取了存储在受损GoAnywhere MFT服务器上的文档。

没有勒索证据

勒索软件集团拒绝提供任何证据或分享其他细节，如袭击何时开始、索要多少赎金，以及是否已经开始勒索受害者。

警报和修补程序

GoAnywhere MFT的开发人员Fortra披露了对安全文件传输工具中漏洞的积极利用，同时也在网上发布了PoC漏洞。

CISA将GoAnywhere MFT错误添加到其 已知漏洞目录，命令联邦机构在3月3日之前修补其系统。

Huntress研究人员的另一份报告将黑客组织TA505与最近利用GoAnywhere MFT软件中的RCE漏洞联系起来。

虽然TA505与Clop勒索软件有着悠久的历史，但最近的攻击与Silence/Truebot活动重叠。

TA505和Cl0p两个组可能共同利用易受攻击的GoAnywhere MFT软件。

值得注意的是，Cl0p利用GoAnywhere MFT漏洞的机会非常令人担忧。因此，建议受害者组织避免支付赎金，使用可用的备份，并在未来采取分层方法保护系统。