Aggiornamenti recenti Febbraio 7th, 2023 4:20 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Cryptohacking: l’anno peggiore di sempre
- Le difficoltà di comunicazione danneggiano la sicurezza
- Crowdsourcing per la cybersecurity: più protezione e costi aziendali ridotti
- ESXiArgs: cos’è, come funziona e chi ha colpito
- File OneNote per distribuire malware: individuate decine di campagne attive
Lorenz: attacco ransomware a distanza di mesi
I ricercatori di sicurezza di S-RM hanno scoperto una modalità di comportamento piuttosto estremo, che denota molta pazienza, pianificazione e fiducia nei propri mezzi.
I criminali informatici hanno infatti sfruttato alcune vulnerabilità per collocare backdoor quando c’era l’occasione, per poi tornare e colpire molto tempo dopo, quando la vittima aveva applicato gli aggiornamenti di sicurezza che nel frattempo erano stati prodotti e distribuito.
Nello specifico, il caso è un attacco ransomware portato dal gruppo Lorenz che è stato completato mesi dopo che i criminali avevano ottenuto l’accesso alla rete della vittima utilizzando un exploit per un bug critico in un sistema di telefonia.
La semina della backdoor
I ricercatori della società di consulenza S-RM hanno stabilito che i criminali avevano violato la rete delle vittime cinque mesi prima di iniziare a rubare dati e crittografare i sistemi.
La vulnerabilità utilizzata dagli attaccanti era un bug critico nell’infrastruttura di telefonia Mitel (CVE-2022-29499) che consente l’esecuzione di codice remoto. La patch per questa vulnerabilità è stata rilasciata a luglio ma i criminali avevano già installato una backdoor una settimana prima.
La backdoor era costituita da una singola riga di codice PHP che ascoltava le richieste HTTP POST con due parametri: “id”, che fungeva da credenziale per l’accesso al sistema, e “img” che includeva i comandi da eseguire.
Gli hacker hanno nascosto la backdoor in una directory legittima sul sistema, con una denominazione apparentemente inoffensiva (“twitter_icon_”) e l’hanno lasciata dormire per cinque mesi. Quando erano pronti, hanno utilizzato la backdoor per distribuire il ransomware Lorenz nel giro di 48 ore.
Verificare le intrusioni
Secondo i ricercatori di S-RM, il lungo intervallo di lunga inattività potrebbe essere dovuto al fatto che il gruppo ransomware abbia acquistato l’accesso alla rete da un broker o che abbia un ramo dedicato all’acquisizione dell’accesso iniziale.
Per questo motivo, i ricercatori sottolineano che aggiornare i software all’ultima versione al momento giusto è un passo importante nella difesa della rete, ma nel caso di vulnerabilità critiche, le aziende dovrebbero anche tenere sotto controllo il loro ambiente per evidenziare tentativi di exploit e possibili intrusioni.
La revisione dei registri, la ricerca di accessi o comportamenti non autorizzati e il monitoraggio della rete alla ricerca di traffico inatteso potrebbero infatti rivelare un’intrusione capace di sopravvivere agli aggiornamenti di sicurezza.
Condividi l'articolo
- attacco, lorenz, mitel, Ransomware, S-RM
Cybersecurity: le figure che possono sopperire alla carenza di talenti
Guilty Gear Strive colpito dagli hacker: una vulnerabilità causa il crash del sistema
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Cryptohacking: l’anno peggiore di sempre Nel 2022 c’è stato un aumento record negli attacchi... -
Crowdsourcing per la cybersecurity: più protezione e costi... Gli attacchi di phishing non si arrestano: sempre più... -
ESXiArgs: cos’è, come funziona e chi ha colpito Questa mattina abbiamo dato conto del grande clamore... -
Ransomware, IAB e infostealer: le minacce da tenere... I ransomware sono stati la minaccia principale degli ultimi... -
Proteggere Active Directory: la sfida di Semperis Semperis ha recentemente organizzato un incontro con Coley...
Minacce recenti
Off topic
-
Maythefourth: La caduta dell’Impero Galattico è... E se vi dicessimo che la saga di Star Wars ... -
Gli hacker e il cinema: i dieci migliori film secondo... Abbiamo rubato al blog di Kaspersky un vecchio pezzo di... -
Campione di scacchi blinda il PC. “Paura degli hacker” Il numero uno degli scacchi mondiali Magnus Carlsen ha... -
L’autore di fsociety pensa di essere Mr. Robot, ma è un... Il pirata informatico che ha creato il ransomware cerca... -
Yahoo sospende l’inoltro delle email. Paura di un esodo... Dopo la raffica di figuracce, l’azienda sospende per...
Post recenti
-
Le difficoltà di comunicazione danneggiano la sicurezza Uno studio globale condotto da Kaspersky intervistando... -
File OneNote per distribuire malware: individuate decine di... I ricercatori di Proofpoint hanno individuato diverse... -
Il ransomware ESXiArgs spaventa l’opinione pubblica A partire da venerdì 3 febbraio, una nuova campagna... -
Vulnerabilità critica minaccia migliaia di Nas QNAP in... Il produttore di sistemi di storage QNAP ha annunciato... -
Il malware Prilex blocca le transazioni contactless Prilex è un noto attore di minacce, che ha iniziato...
Ransomware: la serie
No posts found.
