Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

E’ stata la cybergang Cl0p a sfruttare gli 0day di MOVEit Transfer. Lo riporta Microsoft e forse siamo solo all’inizio

Redazione RHC : 6 Giugno 2023 07:08

Microsoft ha collegato la banda di ransomware Clop a un recente attacco che sfrutta una vulnerabilità zero-day nella piattaforma MOVEit Transfer per sottrarre dati alle organizzazioni .

“Microsoft attribuisce gli attacchi che sfruttano la vulnerabilità CVE-2023-34362 MOVEit Transfer 0  day al gruppo di criminali informatici Lace Tempest, noto per il ransomware che gestisce il sito di perdite di Clop”, ha twittato ieri sera il team di Microsoft Threat Intelligence.

“Lace Tempest” è il nuovo nome, secondo la classificazione aggiornata di Microsoft, per il raggruppamento, meglio noto come TA505, FIN11 o DEV-0950. “Gli aggressori hanno utilizzato vulnerabilità simili in passato per rubare dati ed estorcere vittime”, hanno aggiunto.

MOVEit Transfer è una soluzione Managed File Transfer (MFT) che consente alle aziende di trasferire in modo sicuro file tra partner commerciali e clienti utilizzando download basati su SFTP, SCP e HTTP.

Si ritiene che l’attacco al servizio sia iniziato il 27 maggio, durante la lunga festa del Memorial Day negli Stati Uniti, quando si è saputo delle numerose organizzazioni i cui dati erano stati rubati.

Gli aggressori hanno utilizzato la vulnerabilità zero-day di MOVEit per impiantare webshell sui server, consentendo loro di estrarre un elenco di file archiviati nei server, caricare file e rubare credenziali/segreti per i container di archiviazione BLOB di Azure configurati.

Sebbene all’epoca non fosse chiaro chi ci fosse dietro gli attacchi, era opinione diffusa che il ransomware Clop fosse responsabile dell’attacco a causa delle somiglianze con i precedenti attacchi effettuati dal gruppo. 

Dopotutto, è stato questo gruppo a realizzare due dei più grandi attacchi informatici nella storia delle piattaforme MFT. Il primo si è verificato nel 2020, quando Clop ha sfruttato la vulnerabilità zero-day di Accellion FTA. E il secondo è avvenuto a gennaio di quest’anno, sempre a causa di una vulnerabilità zero-day, ma già nel Fortra GoAnywhere MFT. Come risultato di entrambi gli attacchi, gli hacker di Clop hanno rilevato i dati di centinaia di organizzazioni.

Allo stato attuale la fase dell’estorsione non è ancora iniziata e le vittime non hanno ancora ricevuto richieste di riscatto. Tuttavia, è noto che la banda di Clop, se Microsoft non si è sbagliata nei propri giudizi, attende diverse settimane dopo il furto. Forse gli hacker strutturano i dati rubati e ne determinano il valore. E solo quando saranno pronti, invieranno via e-mail le loro richieste ai vertici delle aziende interessate.

Dopo l’attacco a GoAnywhere, ci è voluto poco più di un mese prima che gli hacker pubblicassero un elenco delle vittime sul loro sito di leak. Questa volta, è probabile che tu debba anche aspettare un po’. Ti terremo informato.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli

Articoli in evidenza

Truffe e Schiavitù Digitali: La Cambogia è la Capitale Mondiale della Frode Online

Secondo un nuovo rapporto del gruppo per i diritti umani Amnesty International, pubblicato dopo quasi due anni di ricerche sulla situazione, la Cambogia resta un punto caldo sulla mappa mondiale della...

Dopo aver criptato mezzo mondo, Hunters International chiude! Distribuito gratuitamente il Decryptor

Hunters International, il gruppo responsabile di uno dei più grandi attacchi ransomware degli ultimi anni, ha annunciato ufficialmente la cessazione delle sue attività. In una dichiarazione ...

Da AI white ad AI black il passo è breve. Nuovi strumenti per Script Kiddies bussano alle porte

I ricercatori di Okta  hanno notato che aggressori sconosciuti stanno utilizzando lo strumento di intelligenza artificiale generativa v0 di Vercel per creare pagine false che imitano qu...

Se è gratuito, il prodotto sei tu. Google paga 314 milioni di dollari per violazione dei dati agli utenti Android

Google è al centro di un’imponente causa in California che si è conclusa con la decisione di pagare oltre 314 milioni di dollari agli utenti di smartphone Android nello stato. Una giu...

CTF di RHC 2025. Ingegneria sociale in gioco: scopri la quarta “flag” non risolta

La RHC Conference 2025, organizzata da Red Hot Cyber, ha rappresentato un punto di riferimento per la comunità italiana della cybersecurity, offrendo un ricco programma di talk, workshop e compet...