Aggiornamenti recenti Aprile 30th, 2026 5:30 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Mini Shai-Hulud: la supply chain SAP colpita da un simil-worm
- Honeypot intelligenti: come gli agenti AI ingannano gli attaccanti AI
- I dati sono recuperabili (troppo) facilmente dalle auto moderne
- Reset password: una misura di sicurezza che diventa minaccia
- Kyber annuncia il ransomware “post-quantum”, ma…
Scoperti attacchi contro server ColdFusion non aggiornati, tutti fallimentari
A settembre e a inizio ottobre i ricercatori di Sophos X-Ops hanno osservato numerosi tentativi di attacco che hanno sfruttato le vulnerabilità di versioni obsolete di ColdFusion Server di Adobe per ottenere l’accesso ai server Windows dove erano ospitati.
L’obiettivo degli attacchi, nessuno dei quali ha avuto successo, era distribuire ransomware. Stando all’analisi di Sophos X-Ops, il malware condivideva il codice sorgente di LockBit 3.0 e una versione simile era stata utilizzata in una precedente campagna che sfruttava WS-FTP.
Gli attacchi fallimentari contro i server ColdFusion
Il primo tentativo di attacco si è verificato il 20 settembre: gli attaccanti hanno inviato un comando ping per verificare se il server fosse vulnerabile a un attacco remoto. Dopo aver verificato che la macchina poteva connettersi a un dominio remoto, gli aggressori hanno provato a eseguire uno script PowerShell per scaricare ed eseguire un agent di Cobalt Strike, il tool di Red Teaming tanto amato dai cybercriminali.
Pixabay
Il tentativo non è andato a buon fine e gli attaccanti hanno provato altri metodi per distribuire Cobalt Strike, tutti inefficaci. Dopo circa due ore di fallimenti, gli aggressori hanno interrotto l’attacco e hanno aspettato cinque giorni prima di tornare a colpire il server. Gli attaccanti hanno tentato di prendere il controllo della macchina con nuovi file binari e un nuovo vettore di attacco, ma anche in questo caso i tentativi sono stati inutili.
Il 26 settembre, dopo una serie di attacchi infruttuosi, i cybercriminali hanno sospeso le attività.
L’identità degli attaccanti
Analizzando la traccia telemetrica, i ricercatori di Sophos X-Ops sono riusciti ad accedere ai payload e agli strumenti degli attaccanti sul loro server. Il ransomware reca una nota dove si attribuisce il merito a tale “BlackDogs 2023”, un nuovo gruppo ransomware.
Nella nota gli attaccanti chiedevano 205 Monero (circa 30.000 dollari) in cambio di un tool di decrittazione per i file cifrati e minacciavano la vittima di pubblicare i dati sottratti sul dark web se non avesse pagato.
Credits: nicescene- Depositphotos
Nonostante in questo caso le soluzioni di sicurezza si siano dimostrate efficaci, non bisogna abbassare la guardia di fronte a questo attacco. I target dei cybercriminali usavano ColdFusion 11.x, una versione risalente al 2014 non più supportata da Adobe. Poiché non esistono patch per questa versione, i server che ospitano il software rimangono vulnerabili agli attacchi.
La prima cosa da fare è migrare a versioni più aggiornate e supportate; se questo non fosse immediatamente possibile, i ricercatori di Sophos consigliano di isolare i server vulnerabili e limitare i diritti degli utenti su di essi.
Condividi l'articolo
La patch per Mirth Connect ha generato una nuova vulnerabilità
Cisco Talos: il report degli attacchi dei primi sei mesi del 2023
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Honeypot intelligenti: come gli agenti AI ingannano gli... Stanno arrivando, ma non nascono già pronti. Stiamo... -
I dati sono recuperabili (troppo) facilmente dalle auto... Come sappiamo, le auto moderne sono sempre più simili a... -
Reset password: una misura di sicurezza che diventa Vi ricordate il vecchio adagio “cambia la password almeno... -
Recovery scam: quando la truffa colpisce due volte Nel panorama delle minacce informatiche, esiste una... -
Strategia cybersecurity USA verso un modello più assertivo... Nel mese scorso, il governo degli USA ha rilasciato un...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
Mini Shai-Hulud: la supply chain SAP colpita da un... La compromissione della supply chain software continua a... -
Honeypot intelligenti: come gli agenti AI ingannano gli... Stanno arrivando, ma non nascono già pronti. Stiamo...
-
I dati sono recuperabili (troppo) facilmente dalle auto... Come sappiamo, le auto moderne sono sempre più simili a...
-
Reset password: una misura di sicurezza che diventa Vi ricordate il vecchio adagio “cambia la password almeno...
-
Kyber annuncia il ransomware “post-quantum”, ma… Kyber è un gruppo ransomware relativamente recente che ha...
Ransomware: la serie
No posts found.