Aggiornamenti recenti Aprile 26th, 2024 9:14 AM
Ott 27, 2023 Marina Londei Attacchi, In evidenza, Intrusione, News, RSS, Vulnerabilità 0
A settembre e a inizio ottobre i ricercatori di Sophos X-Ops hanno osservato numerosi tentativi di attacco che hanno sfruttato le vulnerabilità di versioni obsolete di ColdFusion Server di Adobe per ottenere l’accesso ai server Windows dove erano ospitati.
L’obiettivo degli attacchi, nessuno dei quali ha avuto successo, era distribuire ransomware. Stando all’analisi di Sophos X-Ops, il malware condivideva il codice sorgente di LockBit 3.0 e una versione simile era stata utilizzata in una precedente campagna che sfruttava WS-FTP.
Il primo tentativo di attacco si è verificato il 20 settembre: gli attaccanti hanno inviato un comando ping per verificare se il server fosse vulnerabile a un attacco remoto. Dopo aver verificato che la macchina poteva connettersi a un dominio remoto, gli aggressori hanno provato a eseguire uno script PowerShell per scaricare ed eseguire un agent di Cobalt Strike, il tool di Red Teaming tanto amato dai cybercriminali.
Il tentativo non è andato a buon fine e gli attaccanti hanno provato altri metodi per distribuire Cobalt Strike, tutti inefficaci. Dopo circa due ore di fallimenti, gli aggressori hanno interrotto l’attacco e hanno aspettato cinque giorni prima di tornare a colpire il server. Gli attaccanti hanno tentato di prendere il controllo della macchina con nuovi file binari e un nuovo vettore di attacco, ma anche in questo caso i tentativi sono stati inutili.
Il 26 settembre, dopo una serie di attacchi infruttuosi, i cybercriminali hanno sospeso le attività.
Analizzando la traccia telemetrica, i ricercatori di Sophos X-Ops sono riusciti ad accedere ai payload e agli strumenti degli attaccanti sul loro server. Il ransomware reca una nota dove si attribuisce il merito a tale “BlackDogs 2023”, un nuovo gruppo ransomware.
Nella nota gli attaccanti chiedevano 205 Monero (circa 30.000 dollari) in cambio di un tool di decrittazione per i file cifrati e minacciavano la vittima di pubblicare i dati sottratti sul dark web se non avesse pagato.
Nonostante in questo caso le soluzioni di sicurezza si siano dimostrate efficaci, non bisogna abbassare la guardia di fronte a questo attacco. I target dei cybercriminali usavano ColdFusion 11.x, una versione risalente al 2014 non più supportata da Adobe. Poiché non esistono patch per questa versione, i server che ospitano il software rimangono vulnerabili agli attacchi.
La prima cosa da fare è migrare a versioni più aggiornate e supportate; se questo non fosse immediatamente possibile, i ricercatori di Sophos consigliano di isolare i server vulnerabili e limitare i diritti degli utenti su di essi.
Apr 22, 2024 0
Apr 22, 2024 0
Apr 22, 2024 0
Apr 19, 2024 0
Apr 26, 2024 0
Apr 24, 2024 0
Apr 24, 2024 0
Apr 23, 2024 0
Apr 24, 2024 0
ToddyCat, un gruppo APT che colpisce prevalentemente...Apr 18, 2024 0
La corsa all’IA generativa ha spinto i produttori di...Apr 16, 2024 0
LockBit continua a colpire le organizzazioni di tutto il...Apr 15, 2024 0
Il 41% delle imprese italiane subisce mensilmente attacchi...Apr 12, 2024 0
In occasione del Privacy Tour 2024, l’iniziativa del...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Ott 11, 2016 0
Dopo la raffica di figuracce, l’azienda sospende per...Apr 26, 2024 0
I ricercatori di Avast hanno scoperto una nuova campagna...Apr 24, 2024 0
I ricercatori di Cisco Talos hanno scoperto una nuova...Apr 24, 2024 0
ToddyCat, un gruppo APT che colpisce prevalentemente...Apr 23, 2024 0
In occasione dell’Italian Partner Conferencetenutasi...Apr 23, 2024 0
Un team di ricercatori ha sviluppato quello che ritengono...