Clop Ransomware Sasar Gladinet CentreStack dalam Serangan Pencurian Data

Kelompok ransomware Clop (juga dikenal sebagai Cl0p) kembali melancarkan kampanye pemerasan dengan menargetkan server file Gladinet CentreStack yang terekspos ke internet. Serangan ini berfokus pada pencurian data sensitif dan meninggalkan catatan tebusan di sistem yang berhasil dikompromi.

Target Serangan

Gladinet CentreStack memungkinkan perusahaan berbagi file dari server lokal secara aman melalui browser, aplikasi mobile, maupun mapped drives tanpa memerlukan VPN. Produk ini digunakan oleh ribuan bisnis di lebih dari 49 negara.

Sejak April 2025, Gladinet telah merilis sejumlah pembaruan keamanan untuk menutup celah yang sebelumnya dieksploitasi, termasuk beberapa zero-day. Namun, hingga kini belum jelas apakah Clop memanfaatkan kerentanan baru atau bug lama yang belum ditambal oleh administrator sistem.

Aktivitas Clop

Menurut komunitas intelijen Curated Intelligence, terdapat lebih dari 200 alamat IP unik yang menjalankan portal login CentreStack dan berpotensi menjadi target. Clop diketahui melakukan pemindaian port dan eksploitasi terhadap sistem yang rentan, meski detail CVE yang digunakan masih belum terungkap.

Clop memiliki rekam jejak panjang dalam menyerang produk transfer file aman. Sebelumnya, mereka menargetkan Accellion FTA, GoAnywhere MFT, Cleo, dan MOVEit Transfer, yang berdampak pada lebih dari 2.770 organisasi di seluruh dunia.

Serangan Terbaru

Pada Agustus 2025, Clop mengeksploitasi kerentanan zero-day di Oracle EBS (CVE-2025-61882) untuk mencuri dokumen sensitif dari berbagai organisasi ternama, termasuk Harvard University, The Washington Post, Logitech, dan Envoy Air. Data hasil curian kemudian dipublikasikan di situs gelap Clop dan disebarkan melalui Torrent.

Upaya Penegakan Hukum

Departemen Luar Negeri AS menawarkan hadiah USD 10 juta