Ott 27, 2023 Attacchi, In evidenza, Intrusione, News, RSS, Vulnerabilità
A settembre e a inizio ottobre i ricercatori di Sophos X-Ops hanno osservato numerosi tentativi di attacco che hanno sfruttato le vulnerabilità di versioni obsolete di ColdFusion Server di Adobe per ottenere l’accesso ai server Windows dove erano ospitati.
L’obiettivo degli attacchi, nessuno dei quali ha avuto successo, era distribuire ransomware. Stando all’analisi di Sophos X-Ops, il malware condivideva il codice sorgente di LockBit 3.0 e una versione simile era stata utilizzata in una precedente campagna che sfruttava WS-FTP.
Il primo tentativo di attacco si è verificato il 20 settembre: gli attaccanti hanno inviato un comando ping per verificare se il server fosse vulnerabile a un attacco remoto. Dopo aver verificato che la macchina poteva connettersi a un dominio remoto, gli aggressori hanno provato a eseguire uno script PowerShell per scaricare ed eseguire un agent di Cobalt Strike, il tool di Red Teaming tanto amato dai cybercriminali.
Il tentativo non è andato a buon fine e gli attaccanti hanno provato altri metodi per distribuire Cobalt Strike, tutti inefficaci. Dopo circa due ore di fallimenti, gli aggressori hanno interrotto l’attacco e hanno aspettato cinque giorni prima di tornare a colpire il server. Gli attaccanti hanno tentato di prendere il controllo della macchina con nuovi file binari e un nuovo vettore di attacco, ma anche in questo caso i tentativi sono stati inutili.
Il 26 settembre, dopo una serie di attacchi infruttuosi, i cybercriminali hanno sospeso le attività.
Analizzando la traccia telemetrica, i ricercatori di Sophos X-Ops sono riusciti ad accedere ai payload e agli strumenti degli attaccanti sul loro server. Il ransomware reca una nota dove si attribuisce il merito a tale “BlackDogs 2023”, un nuovo gruppo ransomware.
Nella nota gli attaccanti chiedevano 205 Monero (circa 30.000 dollari) in cambio di un tool di decrittazione per i file cifrati e minacciavano la vittima di pubblicare i dati sottratti sul dark web se non avesse pagato.
Nonostante in questo caso le soluzioni di sicurezza si siano dimostrate efficaci, non bisogna abbassare la guardia di fronte a questo attacco. I target dei cybercriminali usavano ColdFusion 11.x, una versione risalente al 2014 non più supportata da Adobe. Poiché non esistono patch per questa versione, i server che ospitano il software rimangono vulnerabili agli attacchi.
La prima cosa da fare è migrare a versioni più aggiornate e supportate; se questo non fosse immediatamente possibile, i ricercatori di Sophos consigliano di isolare i server vulnerabili e limitare i diritti degli utenti su di essi.