Aggiornamenti recenti Novembre 22nd, 2024 9:00 AM
Ott 27, 2023 Marina Londei Attacchi, In evidenza, Intrusione, News, RSS, Vulnerabilità 0
A settembre e a inizio ottobre i ricercatori di Sophos X-Ops hanno osservato numerosi tentativi di attacco che hanno sfruttato le vulnerabilità di versioni obsolete di ColdFusion Server di Adobe per ottenere l’accesso ai server Windows dove erano ospitati.
L’obiettivo degli attacchi, nessuno dei quali ha avuto successo, era distribuire ransomware. Stando all’analisi di Sophos X-Ops, il malware condivideva il codice sorgente di LockBit 3.0 e una versione simile era stata utilizzata in una precedente campagna che sfruttava WS-FTP.
Il primo tentativo di attacco si è verificato il 20 settembre: gli attaccanti hanno inviato un comando ping per verificare se il server fosse vulnerabile a un attacco remoto. Dopo aver verificato che la macchina poteva connettersi a un dominio remoto, gli aggressori hanno provato a eseguire uno script PowerShell per scaricare ed eseguire un agent di Cobalt Strike, il tool di Red Teaming tanto amato dai cybercriminali.
Il tentativo non è andato a buon fine e gli attaccanti hanno provato altri metodi per distribuire Cobalt Strike, tutti inefficaci. Dopo circa due ore di fallimenti, gli aggressori hanno interrotto l’attacco e hanno aspettato cinque giorni prima di tornare a colpire il server. Gli attaccanti hanno tentato di prendere il controllo della macchina con nuovi file binari e un nuovo vettore di attacco, ma anche in questo caso i tentativi sono stati inutili.
Il 26 settembre, dopo una serie di attacchi infruttuosi, i cybercriminali hanno sospeso le attività.
Analizzando la traccia telemetrica, i ricercatori di Sophos X-Ops sono riusciti ad accedere ai payload e agli strumenti degli attaccanti sul loro server. Il ransomware reca una nota dove si attribuisce il merito a tale “BlackDogs 2023”, un nuovo gruppo ransomware.
Nella nota gli attaccanti chiedevano 205 Monero (circa 30.000 dollari) in cambio di un tool di decrittazione per i file cifrati e minacciavano la vittima di pubblicare i dati sottratti sul dark web se non avesse pagato.
Nonostante in questo caso le soluzioni di sicurezza si siano dimostrate efficaci, non bisogna abbassare la guardia di fronte a questo attacco. I target dei cybercriminali usavano ColdFusion 11.x, una versione risalente al 2014 non più supportata da Adobe. Poiché non esistono patch per questa versione, i server che ospitano il software rimangono vulnerabili agli attacchi.
La prima cosa da fare è migrare a versioni più aggiornate e supportate; se questo non fosse immediatamente possibile, i ricercatori di Sophos consigliano di isolare i server vulnerabili e limitare i diritti degli utenti su di essi.
Nov 21, 2024 0
Nov 19, 2024 0
Nov 18, 2024 0
Nov 11, 2024 0
Nov 22, 2024 0
Nov 21, 2024 0
Nov 20, 2024 0
Nov 15, 2024 0
Nov 22, 2024 0
Secondo una ricerca di F5 Labs, gli attacchi DDoS sono...Nov 21, 2024 0
Google ha annunciato di aver trovato 26 nuove...Nov 14, 2024 0
L’FBI ha lanciato un allarme: stando a un avviso...Nov 13, 2024 0
I ricercatori di Securonix hanno scoperto CRON#TRAP, una...Nov 12, 2024 0
Le minacce APT sono in aumento e in molti casi stanno...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Nov 22, 2024 0
Secondo una ricerca di F5 Labs, gli attacchi DDoS sono...Nov 21, 2024 0
Playlist e podcast sono l’esca ideale per attirare ignari...Nov 21, 2024 0
Google ha annunciato di aver trovato 26 nuove...Nov 20, 2024 0
Una campagna di spionaggio a opera di hacker cinesi ha...Nov 19, 2024 0
I ricercatori di Sekoia hanno individuato una nuova...