Redazione RHC : 6 Giugno 2023 07:08
Microsoft ha collegato la banda di ransomware Clop a un recente attacco che sfrutta una vulnerabilità zero-day nella piattaforma MOVEit Transfer per sottrarre dati alle organizzazioni .
“Microsoft attribuisce gli attacchi che sfruttano la vulnerabilità CVE-2023-34362 MOVEit Transfer 0 – day al gruppo di criminali informatici Lace Tempest, noto per il ransomware che gestisce il sito di perdite di Clop”, ha twittato ieri sera il team di Microsoft Threat Intelligence.
Distribuisci i nostri corsi di formazione diventando un nostro Affiliato
Se sei un influencer, gestisci una community, un blog, un profilo social o semplicemente hai tanta voglia di diffondere cultura digitale e cybersecurity, questo è il momento perfetto per collaborare con RHC Academy. Unisciti al nostro Affiliate Program: potrai promuovere i nostri corsi online e guadagnare provvigioni ad ogni corso venduto. Fai parte del cambiamento. Diffondi conoscenza, costruisci fiducia, genera valore.
Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]
Supporta RHC attraverso:
- L'acquisto del fumetto sul Cybersecurity Awareness
- Ascoltando i nostri Podcast
- Seguendo RHC su WhatsApp
- Seguendo RHC su Telegram
- Scarica gratuitamente "Dark Mirror", il report sul ransomware di Dark Lab
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
Microsoft is attributing attacks exploiting the CVE-2023-34362 MOVEit Transfer 0-day vulnerability to Lace Tempest, known for ransomware operations & running the Clop extortion site. The threat actor has used similar vulnerabilities in the past to steal data & extort victims. pic.twitter.com/q73WtGru7j
— Microsoft Threat Intelligence (@MsftSecIntel) June 5, 2023
“Lace Tempest” è il nuovo nome, secondo la classificazione aggiornata di Microsoft, per il raggruppamento, meglio noto come TA505, FIN11 o DEV-0950. “Gli aggressori hanno utilizzato vulnerabilità simili in passato per rubare dati ed estorcere vittime”, hanno aggiunto.
MOVEit Transfer è una soluzione Managed File Transfer (MFT) che consente alle aziende di trasferire in modo sicuro file tra partner commerciali e clienti utilizzando download basati su SFTP, SCP e HTTP.
Si ritiene che l’attacco al servizio sia iniziato il 27 maggio, durante la lunga festa del Memorial Day negli Stati Uniti, quando si è saputo delle numerose organizzazioni i cui dati erano stati rubati.
Gli aggressori hanno utilizzato la vulnerabilità zero-day di MOVEit per impiantare webshell sui server, consentendo loro di estrarre un elenco di file archiviati nei server, caricare file e rubare credenziali/segreti per i container di archiviazione BLOB di Azure configurati.
Sebbene all’epoca non fosse chiaro chi ci fosse dietro gli attacchi, era opinione diffusa che il ransomware Clop fosse responsabile dell’attacco a causa delle somiglianze con i precedenti attacchi effettuati dal gruppo.
Dopotutto, è stato questo gruppo a realizzare due dei più grandi attacchi informatici nella storia delle piattaforme MFT. Il primo si è verificato nel 2020, quando Clop ha sfruttato la vulnerabilità zero-day di Accellion FTA. E il secondo è avvenuto a gennaio di quest’anno, sempre a causa di una vulnerabilità zero-day, ma già nel Fortra GoAnywhere MFT. Come risultato di entrambi gli attacchi, gli hacker di Clop hanno rilevato i dati di centinaia di organizzazioni.
Allo stato attuale la fase dell’estorsione non è ancora iniziata e le vittime non hanno ancora ricevuto richieste di riscatto. Tuttavia, è noto che la banda di Clop, se Microsoft non si è sbagliata nei propri giudizi, attende diverse settimane dopo il furto. Forse gli hacker strutturano i dati rubati e ne determinano il valore. E solo quando saranno pronti, invieranno via e-mail le loro richieste ai vertici delle aziende interessate.
Dopo l’attacco a GoAnywhere, ci è voluto poco più di un mese prima che gli hacker pubblicassero un elenco delle vittime sul loro sito di leak. Questa volta, è probabile che tu debba anche aspettare un po’. Ti terremo informato.
RedazioneSecondo un nuovo rapporto del gruppo per i diritti umani Amnesty International, pubblicato dopo quasi due anni di ricerche sulla situazione, la Cambogia resta un punto caldo sulla mappa mondiale della...
Hunters International, il gruppo responsabile di uno dei più grandi attacchi ransomware degli ultimi anni, ha annunciato ufficialmente la cessazione delle sue attività. In una dichiarazione ...
I ricercatori di Okta hanno notato che aggressori sconosciuti stanno utilizzando lo strumento di intelligenza artificiale generativa v0 di Vercel per creare pagine false che imitano qu...
Google è al centro di un’imponente causa in California che si è conclusa con la decisione di pagare oltre 314 milioni di dollari agli utenti di smartphone Android nello stato. Una giu...
La RHC Conference 2025, organizzata da Red Hot Cyber, ha rappresentato un punto di riferimento per la comunità italiana della cybersecurity, offrendo un ricco programma di talk, workshop e compet...
Copyright @ REDHOTCYBER Srl
PIVA 17898011006
