Giriş:
CL0P fidye yazılım grubunun son dönemde telekomünikasyon ve sağlık sektörlerine yönelik saldırıları önemli bir tehdit oluşturuyor. 2025 yılının Şubat ayı itibarıyla, özellikle Cleo entegrasyon yazılımında keşfedilen yeni bir sıfırıncı gün açığı (CVE-2024-50623) sayesinde, dünya genelinde 80’den fazla kuruluş hedef alınmış durumda. Bu durum, kritik altyapıların siber güvenlik risklerini artırarak, veri ihlalleri ve sistem şifreleme olaylarının yaygınlaşmasına yol açmıştır.
Teknik Açıklamalar:
CL0P grubu, sağlık veri entegrasyonu ve telekom fatura sistemleri gibi geniş bir kullanıcı kitlesine sahip olan Cleo’nun LexiCom, VLTrader ve Harmony platformlarındaki uzaktan kod yürütme açığını hedef alarak, sistemlere sızma yeteneğini artırmıştır. Bu saldırı zinciri, öncelikle sistemde bir başlangıç noktası edinmekle başlamakta, ardından kimlik bilgileri toplayarak veri sızıntısı gerçekleştirmekte ve son olarak şifreleme yazılımları ile etkili bir saldırı gerçekleştirmektedir.
CVE-2024-50623 açığı, saldırganların Cleo yazılımının HTTP API’si aracılığıyla zararlı DLL dosyaları yüklemesine olanak tanımaktadır. Bu, tam sistem erişimi sağlamaktadır. CL0P grubunun geliştirdiği tehlikeli yöntemler arasında otomatik saldırı scriptlerinin yanı sıra manuel hareketler de bulunmaktadır. Bu bağlamda, bir dizi komut kullanarak yedekleme süreçlerini sonlandırmak ve geri dönüşü imkansız hale getirmek için “taskkill” ve “vssadmin” gibi komutlar kullanılmaktadır.
Örnekler:
Aşağıda CL0P grubunun kullandığı bazı komutlar yer almaktadır:
!
taskkill /IM powerpnt.exe /F
!
!
net stop BackupExecAgentBrowser /y
!
!
vssadmin delete shadows /all /quiet
!
Bu komutlar, yedeklemelerin sona erdirilmesini ve kurtarma imkanlarının engellenmesini sağlamaktadır.
Önlemler & En İyi Uygulamalar:
CISA, kullanıcıları Cleo yazılımını 5.8.0.21 sürümüne güncellemeleri konusunda uyarmaktadır. Ancak, araştırmacılar resmi düzeltmeler için geçici çözümlerin mevcut olduğuna da dikkat çekmektedir. Güvenlik uzmanlarının, aşağıdaki komutları ve bilinen CL0P komut ve kontrol alanlarını izlemeleri önerilmektedir:
!
vssadmin resize shadowstorage
!
TLS trafiğini “hiperfdhaus.com” alan adında izlemek, potansiyel saldırılara karşı önleyici bir tedbir olarak değerlendirilmektedir. Ayrıca, saldırı belirtilerinin tespit edilmesi için ağları sürekli izlemek ve güvenlik uygulamalarını güncel tutmak önemlidir.
Sonuç & Özet:
CL0P fidye yazılım grubu, sağlık ve telekomünikasyon sektörleri üzerindeki saldırılarını artırarak, altyapıların siber güvenlik risklerini artırmış durumdadır. Sıfırıncı gün açıklarının hızlı bir şekilde kullanılmasını önlemek için gerekli yamaların uygulanması ve güvenlik önlemlerinin gözden geçirilmesi gibi adımlar, sistemlerin güvenliğini sağlamak açısından kritik öneme sahiptir.
Kaynakça:
Cyber Security News. CL0P Ransomware Attacking Telecommunications & Healthcare Sectors In Large Scale. [Link](https://cybersecuritynews.com/cl0p-ransomware-attacking-telecommunications/) [Collection]
About the Author
