Redazione RHC : 6 Giugno 2023 07:08
Microsoft ha collegato la banda di ransomware Clop a un recente attacco che sfrutta una vulnerabilità zero-day nella piattaforma MOVEit Transfer per sottrarre dati alle organizzazioni .
“Microsoft attribuisce gli attacchi che sfruttano CVE-2023-34362– day al gruppo di criminali informatici Lace Tempest, noto per il ransomware che gestisce il sito di perdite di Clop”, ha twittato ieri sera il team di Microsoft Threat Intelligence.
Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)?
Stiamo per avviare il corso intermedio in modalità "Live Class", previsto per febbraio.
A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente.
Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato. Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile.
Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]
Supporta RHC attraverso:
L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente "Dark Mirror", il report sul ransomware di Dark Lab
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.Microsoft is attributing attacks exploiting the CVE-2023-34362 MOVEit Transfer 0-day vulnerability to Lace Tempest, known for ransomware operations & running the Clop extortion site. The threat actor has used similar vulnerabilities in the past to steal data & extort victims. pic.twitter.com/q73WtGru7j
— Microsoft Threat Intelligence (@MsftSecIntel) June 5, 2023
“Lace Tempest” è il nuovo nome, secondo la classificazione aggiornata di Microsoft, per il raggruppamento, meglio noto come TA505, FIN11 o DEV-0950. “Gli aggressori hanno utilizzato vulnerabilità simili in passato per rubare dati ed estorcere vittime”, hanno aggiunto.
MOVEit Transfer è una soluzione Managed File Transfer (MFT) che consente alle aziende di trasferire in modo sicuro file tra partner commerciali e clienti utilizzando download basati su SFTP, SCP e HTTP.
Si ritiene che l’attacco al servizio sia iniziato il 27 maggio, durante la lunga festa del Memorial Day negli Stati Uniti, quando si è saputo delle numerose organizzazioni i cui dati erano stati rubati.
Gli aggressori hanno utilizzato la vulnerabilità zero-day di MOVEit per impiantare webshell sui server, consentendo loro di estrarre un elenco di file archiviati nei server, caricare file e rubare credenziali/segreti per i container di archiviazione BLOB di Azure configurati.
Sebbene all’epoca non fosse chiaro chi ci fosse dietro gli attacchi, era opinione diffusa che il ransomware Clop fosse responsabile dell’attacco a causa delle somiglianze con i precedenti attacchi effettuati dal gruppo.
Dopotutto, è stato questo gruppo a realizzare due dei più grandi attacchi informatici nella storia delle piattaforme MFT. Il primo si è verificato nel 2020, quando Clop ha sfruttato la vulnerabilità zero-day di Accellion FTA. E il secondo è avvenuto a gennaio di quest’anno, sempre a causa di una vulnerabilità zero-day, ma già nel Fortra GoAnywhere MFT. Come risultato di entrambi gli attacchi, gli hacker di Clop hanno rilevato i dati di centinaia di organizzazioni.
Allo stato attuale la fase dell’estorsione non è ancora iniziata e le vittime non hanno ancora ricevuto richieste di riscatto. Tuttavia, è noto che la banda di Clop, se Microsoft non si è sbagliata nei propri giudizi, attende diverse settimane dopo il furto. Forse gli hacker strutturano i dati rubati e ne determinano il valore. E solo quando saranno pronti, invieranno via e-mail le loro richieste ai vertici delle aziende interessate.
Dopo l’attacco a GoAnywhere, ci è voluto poco più di un mese prima che gli hacker pubblicassero un elenco delle vittime sul loro sito di leak. Questa volta, è probabile che tu debba anche aspettare un po’. Ti terremo informato.
RedazioneUna nuova campagna malware per Android sta prendendo di mira i clienti bancari in Brasile, India e Sud-est asiatico, combinando frodi contactless NFC, intercettazione delle chiamate e sfruttamento del...
Google sta testando una nuova funzionalità per migliorare la privacy nella modalità di navigazione in incognito di Chrome su Windows: il blocco degli script in incognito (PrivacySandboxFinge...
Sembra che gli Stati Uniti abbiano già seriamente preso in considerazione il concetto di guerra autonoma. Il jet da combattimento autonomo della DARPA , risulta in grado di combattere senza pilot...
CrowdStrike ha pubblicato il suo Global Threat Report 2025, che documenta un balzo in avanti nel comportamento dei criminali informatici e dei gruppi statali. Gli esperti definiscono il 2024 “l...
Solamente due settimane fa, il robot umanoide prodotto da Figure ha destato in noi grande meraviglia, quando con destrezza ha preso degli indumenti da un paniere dei panni sporchi e li ha collocati al...
