Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Condividi la tua difesa. Incoraggia l'eccellenza.
La vera forza della cybersecurity risiede
nell'effetto moltiplicatore della conoscenza.
LECS 970x120 1
Enterprise BusinessLog 320x200 1
Babuk ransomware distribuito dagli exploit di ProxyShell.

Babuk ransomware distribuito dagli exploit di ProxyShell.

10 Novembre 2021 07:16

Un nuovo attore di minacce sta hackerando i server Microsoft Exchange e violando le reti aziendali utilizzando la vulnerabilità ProxyShell per distribuire il Babuk Ransomware.

Gli attacchi ProxyShell contro i server Microsoft Exchange vulnerabili sono iniziati diversi mesi fa, con LockFile e Conti, note cyber-gang che operano nella Ransomware as a Service.

Secondo un rapporto dei ricercatori di Cisco Talos, un affiliato del ransomware Babuk noto come “Tortilla” si è unito al club a ottobre, quando l’operazione ha iniziato a utilizzare la web shell “China Chopper” sui server Exchange violati.

Il nome Tortilla, si basa su eseguibili dannosi individuati nelle campagne che utilizzano il nome Tortilla.exe. L’attacco ransomware Babuk inizia con una DLL o un eseguibile .NET rilasciato sul server Exchange utilizzando la vulnerabilità di ProxyShell.

Il processo di lavoro di Exchange IIS w3wp.exe esegue quindi questo payload dannoso per eseguire il comando PowerShell offuscato che consente di bypassare la protezione degli endpoint, invocando infine una richiesta Web per recuperare un payload loader denominato “tortilla.exe”.

Questo loader si collegherà a “pastebin.pl” e scaricherà un payload che viene caricato in memoria e iniettato in un processo NET Framework, che alla fine crittografa il dispositivo con Babuk Ransomware.

Sebbene gli analisti di Cisco abbiano trovato prove dello sfruttamento della vulnerabilità di ProxyShell, nella maggior parte delle infezioni, in particolare nella shell web “China Chopper”, i dati di telemetria riflettono un ampio spettro di tentativi di exploit.

Più specificamente, Tortilla ha seguito questi percorsi per eliminare i moduli DLL e .NET:

  • Tentativo di falsificazione della richiesta lato server di rilevamento automatico di Microsoft Exchange;
  • Tentativo di esecuzione del codice remoto di iniezione OGNL di Atlassian Confluence;
  • esecuzione di codice remoto utilizzando gli exploit di Apache Struts;
  • Accesso a wp-config.php di WordPress tramite tentativo di patch traversal;
  • Tentativo di bypass dell’autenticazione di SolarWinds Orion;
  • Tentativo di esecuzione del comando remoto di Oracle WebLogic Server;
  • Tentativo di deserializzazione arbitrario di oggetti Java di Liferay.

Poiché questi attacchi si basano su vulnerabilità per le quali sono prodotte delle patch, si consiglia vivamente a tutti gli amministratori di aggiornare i propri server alle versioni più recenti per evitare che vengano sfruttati negli attacchi.

Babuk Locker è un’operazione ransomware lanciata all’inizio del 2021, quando ha iniziato a prendere di mira le aziende e a crittografare i loro dati con attacchi a doppia estorsione.

Dopo aver condotto un attacco al Metropolitan Police Department (MPD) di Washinton DC e aver sentito il calore delle forze dell’ordine statunitensi, la banda di ransomware ha interrotto la loro operazione.

Dopo che il codice sorgente per la prima versione di Babuk e un builder sono trapelati sui forum di hacking, altri criminali hanno iniziato a studiare il codice ed ad utilizzarlo nei loro ransomware per lanciare i propri attacchi.

Seguici su Google News, LinkedIn, Facebook e Instagram per ricevere aggiornamenti quotidiani sulla sicurezza informatica. Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Immagine del sito
Redazione

La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli

Articoli in evidenza

Immagine del sito
Phishing NoiPA: analisi tecnica di una truffa che sfrutta aumenti e arretrati
Simone D'Agostino - 22/12/2025

“Salve.” Non “Gentile”, non “Spettabile”, non nome e cognome.Solo “Salve.” A leggerla così, fa quasi tenerezza. Sembra l’inizio di una mail scritta di corsa, magari riciclata da un modello vecchio, senza nemmeno lo sforzo di…

Immagine del sito
Cybersecurity Italia 2026: tra ransomware, supply chain e sicurezza nazionale
Roberto Villani - 22/12/2025

In Italia la cybersicurezza non è più un tema da “reparto IT”. È una questione di sicurezza nazionale, resilienza economica e tenuta democratica. Se si leggono insieme tre livelli di fonte pubblica — Relazione annuale…

Immagine del sito
PuTTY, il cavallo di Troia perfetto: come gli hacker si nascondono nei tool più usati dagli IT
Redazione RHC - 22/12/2025

Gli hacker amano sfruttare i tool più innocui per infiltrarsi nelle reti dei loro obiettivi e questo noi tutti lo sappiamo. E, in questo caso, stanno puntando a PuTTY, il client SSH popolare. È come…

Immagine del sito
Account Microsoft 365 violati senza password: ecco il nuovo incubo OAuth
Redazione RHC - 22/12/2025

I criminali informatici stanno diventando sempre più furbi e hanno trovato un nuovo modo per sfruttare i protocolli di sicurezza aziendali. Sembra incredibile, ma è vero: stanno usando una funzionalità di autenticazione Microsoft legittima per…

Immagine del sito
Sbarca sul Dark Web DIG AI! Senza Account, Senza costi e … senza nessuna censura
Redazione RHC - 21/12/2025

Un nuovo strumento AI è apparso sul dark web e ha rapidamente attirato l’attenzione degli esperti di sicurezza, e non per le migliori ragioni. Si tratta di un servizio di intelligenza artificiale chiamato DIG AI,…