Selon une actualité multi-source, le gang de ransomware Clop (Cl0p) vise des serveurs Gladinet CentreStack exposés sur Internet dans le cadre d’une nouvelle campagne d’extorsion par vol de données.

🚨 Faits principaux

  • Acteur : Clop (Cl0p)
  • Type d’attaque : extorsion par vol de données (data theft extortion)
  • Cible : serveurs Gladinet CentreStack exposés sur Internet
  • Impact visé : exfiltration de fichiers et pression d’extorsion

1) Contexte

  • Le groupe de ransomware Clop (Cl0p) lance une nouvelle campagne d’extorsion ciblant les serveurs Gladinet CentreStack exposés sur Internet.
  • CentreStack est une solution de partage de fichiers permettant aux entreprises d’accéder à des serveurs internes via navigateur, applications mobiles ou lecteurs réseau, sans VPN.
  • Selon Gladinet, la solution est utilisée par des milliers d’entreprises dans plus de 49 pays.

2) Nature de l’attaque

  • Les attaquants :
    • scannent Internet à la recherche de serveurs CentreStack accessibles publiquement
    • compromettent les systèmes
    • déposent des notes de rançon
  • L’objectif principal semble être le vol de données suivi d’extorsion, et non le chiffrement classique.

3) Vulnérabilité exploitée : inconnue

  • À ce stade :
    • aucun CVE n’a été identifié
    • il est inconnu s’il s’agit :
      • d’un zero-day
      • ou d’une faille déjà corrigée mais non patchée
  • Gladinet a publié plusieurs correctifs depuis avril, certains pour des failles zero-day déjà exploitées dans le passé.

4) Surface d’attaque et exposition

  • Selon Curated Intelligence :
    • au moins 200 adresses IP uniques exposent une interface web identifiable comme
      “CentreStack – Login”
  • Ces systèmes constituent des cibles potentielles immédiates pour Clop.

« Incident Responders […] ont rencontré une nouvelle campagne d’extorsion CLOP ciblant des serveurs CentreStack exposés sur Internet. »
— Curated Intelligence

5) Clop : un historique ciblé sur le partage de fichiers

Le groupe Clop est spécialisé dans l’exploitation de solutions de transfert ou de partage de fichiers, notamment :

  • Accellion FTA
  • GoAnywhere MFT
  • Cleo
  • MOVEit Transfer
    → plus de 2 770 organisations touchées à l’échelle mondiale
  • Oracle E-Business Suite
    • exploitation du zero-day CVE-2025-61882
    • attaques depuis août 2025

6) Victimes notables des campagnes récentes

Parmi les organisations affectées lors des attaques Oracle EBS :

  • Harvard University
  • The Washington Post
  • GlobalLogic
  • University of Pennsylvania
  • Logitech
  • Envoy Air (filiale d’American Airlines)

Les données volées ont été :

  • publiées sur un site de fuite du dark web
  • diffusées via Torrent, une tactique classique de Clop pour accentuer la pression.

7) Enjeux géopolitiques et judiciaires

  • Le Département d’État américain offre une récompense pouvant atteindre 10 millions de dollars pour toute information reliant Clop à un État étranger.
  • Clop est considéré comme l’un des groupes d’extorsion les plus impactants au monde.

8) Recommandations immédiates (implicites)

Même en l’absence de CVE confirmé, les organisations utilisant CentreStack devraient :

  • vérifier toute exposition Internet des serveurs
  • appliquer immédiatement tous les correctifs Gladinet disponibles
  • surveiller :
    • accès web
    • création de fichiers suspects (notes de rançon)
    • exfiltration de données
  • envisager une désactivation temporaire de l’accès externe si non indispensable

🧠 À retenir

  • Clop poursuit sa stratégie éprouvée : attaquer les maillons centraux du partage de fichiers.
  • Les solutions exposées sur Internet, même sans VPN, restent des cibles critiques.
  • L’exploitation d’une faille inconnue ou non patchée suggère une fenêtre de risque élevée à court terme.
  • CentreStack rejoint la liste croissante de produits ciblés dans les attaques de type supply-chain / data theft extortion.

👉 Une confirmation officielle de Gladinet et l’identification de la vulnérabilité seront déterminantes pour évaluer l’ampleur réelle de la campagne.

Cet article relève d’une alerte de sécurité visant à informer sur une campagne active ciblant une solution de partage de fichiers en entreprise.

🔗 Source originale : https://www.bleepingcomputer.com/news/security/clop-ransomware-targets-gladinet-centrestack-servers-for-extortion/