Babuk ransomware distribuito dagli exploit di ProxyShell.
Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Condividi la tua difesa. Incoraggia l'eccellenza.
La vera forza della cybersecurity risiede
nell'effetto moltiplicatore della conoscenza.
Banner Ancharia Desktop 1 1
Fortinet 320x100px
Babuk ransomware distribuito dagli exploit di ProxyShell.

Babuk ransomware distribuito dagli exploit di ProxyShell.

10 Novembre 2021 07:16

Un nuovo attore di minacce sta hackerando i server Microsoft Exchange e violando le reti aziendali utilizzando la vulnerabilità ProxyShell per distribuire il Babuk Ransomware.

Gli attacchi ProxyShell contro i server Microsoft Exchange vulnerabili sono iniziati diversi mesi fa, con LockFile e Conti, note cyber-gang che operano nella Ransomware as a Service.

Secondo un rapporto dei ricercatori di Cisco Talos, un affiliato del ransomware Babuk noto come “Tortilla” si è unito al club a ottobre, quando l’operazione ha iniziato a utilizzare la web shell “China Chopper” sui server Exchange violati.

Il nome Tortilla, si basa su eseguibili dannosi individuati nelle campagne che utilizzano il nome Tortilla.exe. L’attacco ransomware Babuk inizia con una DLL o un eseguibile .NET rilasciato sul server Exchange utilizzando la vulnerabilità di ProxyShell.

Il processo di lavoro di Exchange IIS w3wp.exe esegue quindi questo payload dannoso per eseguire il comando PowerShell offuscato che consente di bypassare la protezione degli endpoint, invocando infine una richiesta Web per recuperare un payload loader denominato “tortilla.exe”.

Questo loader si collegherà a “pastebin.pl” e scaricherà un payload che viene caricato in memoria e iniettato in un processo NET Framework, che alla fine crittografa il dispositivo con Babuk Ransomware.

Sebbene gli analisti di Cisco abbiano trovato prove dello sfruttamento della vulnerabilità di ProxyShell, nella maggior parte delle infezioni, in particolare nella shell web “China Chopper”, i dati di telemetria riflettono un ampio spettro di tentativi di exploit.

Più specificamente, Tortilla ha seguito questi percorsi per eliminare i moduli DLL e .NET:

  • Tentativo di falsificazione della richiesta lato server di rilevamento automatico di Microsoft Exchange;
  • Tentativo di esecuzione del codice remoto di iniezione OGNL di Atlassian Confluence;
  • esecuzione di codice remoto utilizzando gli exploit di Apache Struts;
  • Accesso a wp-config.php di WordPress tramite tentativo di patch traversal;
  • Tentativo di bypass dell’autenticazione di SolarWinds Orion;
  • Tentativo di esecuzione del comando remoto di Oracle WebLogic Server;
  • Tentativo di deserializzazione arbitrario di oggetti Java di Liferay.

Poiché questi attacchi si basano su vulnerabilità per le quali sono prodotte delle patch, si consiglia vivamente a tutti gli amministratori di aggiornare i propri server alle versioni più recenti per evitare che vengano sfruttati negli attacchi.

Babuk Locker è un’operazione ransomware lanciata all’inizio del 2021, quando ha iniziato a prendere di mira le aziende e a crittografare i loro dati con attacchi a doppia estorsione.

Dopo aver condotto un attacco al Metropolitan Police Department (MPD) di Washinton DC e aver sentito il calore delle forze dell’ordine statunitensi, la banda di ransomware ha interrotto la loro operazione.

Dopo che il codice sorgente per la prima versione di Babuk e un builder sono trapelati sui forum di hacking, altri criminali hanno iniziato a studiare il codice ed ad utilizzarlo nei loro ransomware per lanciare i propri attacchi.

Seguici su Google News, LinkedIn, Facebook e Instagram per ricevere aggiornamenti quotidiani sulla sicurezza informatica. Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Immagine del sito
Redazione

La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli

Articoli in evidenza

Immagine del sito
Sbarca sul Dark Web DIG AI! Senza Account, Senza costi e … senza nessuna censura
Redazione RHC - 21/12/2025

Un nuovo strumento AI è apparso sul dark web e ha rapidamente attirato l’attenzione degli esperti di sicurezza, e non per le migliori ragioni. Si tratta di un servizio di intelligenza artificiale chiamato DIG AI,…

Immagine del sito
Il cloud USA può diventare un’arma geopolitica? Airbus inizia a “cambiare rotta”
Redazione RHC - 21/12/2025

Negli ultimi mesi, una domanda sta emergendo con sempre maggiore insistenza nei board aziendali europei: il cloud statunitense è davvero sicuro per tutte le aziende? Soprattutto per quelle realtà che operano in settori strategici o…

Immagine del sito
Kimwolf, la botnet che ha trasformato smart TV e decoder in un’arma globale
Redazione RHC - 20/12/2025

Un nuovo e formidabile nemico è emerso nel panorama delle minacce informatiche: Kimwolf, una temibile botnet DDoS, sta avendo un impatto devastante sui dispositivi a livello mondiale. Le conseguenze di questa minaccia possono essere estremamente…

Immagine del sito
35 anni fa nasceva il World Wide Web: il primo sito web della storia
Redazione RHC - 20/12/2025

Ecco! Il 20 dicembre 1990, qualcosa di epocale successe al CERN di Ginevra. Tim Berners-Lee, un genio dell’informatica britannico, diede vita al primo sito web della storia. Si tratta di info.cern.ch, creato con l’obiettivo di…

Immagine del sito
ATM sotto tiro! 54 arresti in una gang che svuotava i bancomat con i malware
Redazione RHC - 20/12/2025

Una giuria federale del Distretto del Nebraska ha incriminato complessivamente 54 persone accusate di aver preso parte a una vasta operazione criminale basata sull’uso di malware per sottrarre milioni di dollari dagli sportelli automatici statunitensi.…