Redazione RHC : 6 Giugno 2023 07:08
Microsoft ha collegato la banda di ransomware Clop a un recente attacco che sfrutta una vulnerabilità zero-day nella piattaforma MOVEit Transfer per sottrarre dati alle organizzazioni .
“Microsoft attribuisce gli attacchi che sfruttano la vulnerabilità CVE-2023-34362 MOVEit Transfer 0 – day al gruppo di criminali informatici Lace Tempest, noto per il ransomware che gestisce il sito di perdite di Clop”, ha twittato ieri sera il team di Microsoft Threat Intelligence.
Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico.
Se sei interessato a sponsorizzare l'evento e a rendere la tua azienda protagonista del più grande evento della Cybersecurity Italiana, non perdere questa opportunità. E ricorda che assieme alla sponsorizzazione della conferenza, incluso nel prezzo, avrai un pacchetto di Branding sul sito di Red Hot Cyber composto da Banner più un numero di articoli che saranno ospitati all'interno del nostro portale.
Quindi cosa stai aspettando? Scrivici subito a [email protected] per maggiori informazioni e per accedere al programma sponsor e al media Kit di Red Hot Cyber.
Supporta Red Hot Cyber attraverso:
- L'acquisto del fumetto sul Cybersecurity Awareness
- Ascoltando i nostri Podcast
- Seguendo RHC su WhatsApp
- Seguendo RHC su Telegram
- Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.Microsoft is attributing attacks exploiting the CVE-2023-34362 MOVEit Transfer 0-day vulnerability to Lace Tempest, known for ransomware operations & running the Clop extortion site. The threat actor has used similar vulnerabilities in the past to steal data & extort victims. pic.twitter.com/q73WtGru7j
— Microsoft Threat Intelligence (@MsftSecIntel) June 5, 2023
“Lace Tempest” è il nuovo nome, secondo la classificazione aggiornata di Microsoft, per il raggruppamento, meglio noto come TA505, FIN11 o DEV-0950. “Gli aggressori hanno utilizzato vulnerabilità simili in passato per rubare dati ed estorcere vittime”, hanno aggiunto.
MOVEit Transfer è una soluzione Managed File Transfer (MFT) che consente alle aziende di trasferire in modo sicuro file tra partner commerciali e clienti utilizzando download basati su SFTP, SCP e HTTP.
Si ritiene che l’attacco al servizio sia iniziato il 27 maggio, durante la lunga festa del Memorial Day negli Stati Uniti, quando si è saputo delle numerose organizzazioni i cui dati erano stati rubati.
Gli aggressori hanno utilizzato la vulnerabilità zero-day di MOVEit per impiantare webshell sui server, consentendo loro di estrarre un elenco di file archiviati nei server, caricare file e rubare credenziali/segreti per i container di archiviazione BLOB di Azure configurati.
Sebbene all’epoca non fosse chiaro chi ci fosse dietro gli attacchi, era opinione diffusa che il ransomware Clop fosse responsabile dell’attacco a causa delle somiglianze con i precedenti attacchi effettuati dal gruppo.
Dopotutto, è stato questo gruppo a realizzare due dei più grandi attacchi informatici nella storia delle piattaforme MFT. Il primo si è verificato nel 2020, quando Clop ha sfruttato la vulnerabilità zero-day di Accellion FTA. E il secondo è avvenuto a gennaio di quest’anno, sempre a causa di una vulnerabilità zero-day, ma già nel Fortra GoAnywhere MFT. Come risultato di entrambi gli attacchi, gli hacker di Clop hanno rilevato i dati di centinaia di organizzazioni.
Allo stato attuale la fase dell’estorsione non è ancora iniziata e le vittime non hanno ancora ricevuto richieste di riscatto. Tuttavia, è noto che la banda di Clop, se Microsoft non si è sbagliata nei propri giudizi, attende diverse settimane dopo il furto. Forse gli hacker strutturano i dati rubati e ne determinano il valore. E solo quando saranno pronti, invieranno via e-mail le loro richieste ai vertici delle aziende interessate.
Dopo l’attacco a GoAnywhere, ci è voluto poco più di un mese prima che gli hacker pubblicassero un elenco delle vittime sul loro sito di leak. Questa volta, è probabile che tu debba anche aspettare un po’. Ti terremo informato.
RedazioneCon nuove funzionalità per anticipare le minacce e accelerare il ripristino grazie a sicurezza di nuova generazione, approfondimenti forensi e automazione intelligente, Veeam lancia anche la Universa...
Milioni di utenti sono esposti al rischio di infezioni da malware e compromissione del sistema a causa dello sfruttamento attivo da parte degli hacker di una vulnerabilità critica di esecuzione di co...
Il 18 novembre 2025, alle 11:20 UTC, una parte significativa dell’infrastruttura globale di Cloudflare ha improvvisamente cessato di instradare correttamente il traffico Internet, mostrando a milion...
Questo è il quinto di una serie di articoli dedicati all’analisi della violenza di genere nel contesto digitale, in coincidenza con la Giornata Internazionale per l’Eliminazione della Violenza co...
18 novembre 2025 – Dopo ore di malfunzionamenti diffusi, l’incidente che ha colpito la rete globale di Cloudflare sembra finalmente vicino alla risoluzione. L’azienda ha comunicato di aver imple...
