Aggiornamenti recenti Aprile 3rd, 2025 10:03 AM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Colt ha completato il trial di crittografia quantistica sulla propria rete ottica
- Corea del Nord: la minaccia cyber si espande in Europa grazie ai professionisti IT
- Le vulnerabilità dei tool RMM aprono nuove opportunità ai cybercriminali
- Una campagna di phishing usa il DNS-over-HTTPS per eludere i controlli
- CERT-AGID 22-28 marzo: in vendita sul darkweb i documenti dello smishing a tema INPS
Scoperti attacchi contro server ColdFusion non aggiornati, tutti fallimentari
A settembre e a inizio ottobre i ricercatori di Sophos X-Ops hanno osservato numerosi tentativi di attacco che hanno sfruttato le vulnerabilità di versioni obsolete di ColdFusion Server di Adobe per ottenere l’accesso ai server Windows dove erano ospitati.
L’obiettivo degli attacchi, nessuno dei quali ha avuto successo, era distribuire ransomware. Stando all’analisi di Sophos X-Ops, il malware condivideva il codice sorgente di LockBit 3.0 e una versione simile era stata utilizzata in una precedente campagna che sfruttava WS-FTP.
Gli attacchi fallimentari contro i server ColdFusion
Il primo tentativo di attacco si è verificato il 20 settembre: gli attaccanti hanno inviato un comando ping per verificare se il server fosse vulnerabile a un attacco remoto. Dopo aver verificato che la macchina poteva connettersi a un dominio remoto, gli aggressori hanno provato a eseguire uno script PowerShell per scaricare ed eseguire un agent di Cobalt Strike, il tool di Red Teaming tanto amato dai cybercriminali.
Pixabay
Il tentativo non è andato a buon fine e gli attaccanti hanno provato altri metodi per distribuire Cobalt Strike, tutti inefficaci. Dopo circa due ore di fallimenti, gli aggressori hanno interrotto l’attacco e hanno aspettato cinque giorni prima di tornare a colpire il server. Gli attaccanti hanno tentato di prendere il controllo della macchina con nuovi file binari e un nuovo vettore di attacco, ma anche in questo caso i tentativi sono stati inutili.
Il 26 settembre, dopo una serie di attacchi infruttuosi, i cybercriminali hanno sospeso le attività.
L’identità degli attaccanti
Analizzando la traccia telemetrica, i ricercatori di Sophos X-Ops sono riusciti ad accedere ai payload e agli strumenti degli attaccanti sul loro server. Il ransomware reca una nota dove si attribuisce il merito a tale “BlackDogs 2023”, un nuovo gruppo ransomware.
Nella nota gli attaccanti chiedevano 205 Monero (circa 30.000 dollari) in cambio di un tool di decrittazione per i file cifrati e minacciavano la vittima di pubblicare i dati sottratti sul dark web se non avesse pagato.
Credits: nicescene- Depositphotos
Nonostante in questo caso le soluzioni di sicurezza si siano dimostrate efficaci, non bisogna abbassare la guardia di fronte a questo attacco. I target dei cybercriminali usavano ColdFusion 11.x, una versione risalente al 2014 non più supportata da Adobe. Poiché non esistono patch per questa versione, i server che ospitano il software rimangono vulnerabili agli attacchi.
La prima cosa da fare è migrare a versioni più aggiornate e supportate; se questo non fosse immediatamente possibile, i ricercatori di Sophos consigliano di isolare i server vulnerabili e limitare i diritti degli utenti su di essi.
Condividi l'articolo
La patch per Mirth Connect ha generato una nuova vulnerabilità
Cisco Talos: il report degli attacchi dei primi sei mesi del 2023
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Corea del Nord: la minaccia cyber si espande in Europa... La Corea del Nord sta incrementando le proprie attività... -
Le vulnerabilità dei tool RMM aprono nuove opportunità ai... Se da una parte i tool di Remote Monitoring and Management... -
Mimecast: con l’AI una nuova era per la Data Loss... Ogni nuova tecnologia porta con sé nuovi rischi. Nel caso... -
Penetration testing, una volta ogni tanto non basta più:... Il processo di penetration testing è ormai una pratica... -
Il ransomware Medusa ha colpito oltre 300 infrastrutture... Il bilancio delle vittime del ransomware Medusa è...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
Colt ha completato il trial di crittografia quantistica... Colt Technology Services ha annunciato di aver completato... -
Corea del Nord: la minaccia cyber si espande in Europa... La Corea del Nord sta incrementando le proprie attività...
-
Le vulnerabilità dei tool RMM aprono nuove opportunità ai... Se da una parte i tool di Remote Monitoring and...
-
Una campagna di phishing usa il DNS-over-HTTPS per eludere... I ricercatori di Infoblox hanno scoperto una nuova campagna... -
CERT-AGID 22-28 marzo: in vendita sul darkweb i documenti... Nel corso dell’ultima settimana, il CERT-AGID ha rilevato...
Ransomware: la serie
No posts found.
