Gli attori malintenzionati stanno sfruttando una vulnerabilità zero-day di Microsoft per hackerare i server Exchange e distribuire il ransomware LockBit 3.0, come riportato da AhnLab.
I server Microsoft Exchange sono a rischio di attacchi ransomware
Un nuovo bug zero-day di Microsoft sarebbe stato sfruttato per lanciare LockBit 3.0, un pericoloso programma ransomware in grado di crittografare ed esfiltrare tutti i dati su un dispositivo infetto.
La serie di attacchi, segnalata dalla società di sicurezza informatica sudcoreana AhnLab, non è stata ancora confermata come a exploit zero-day, anche se si pensa che questa sia la causa più probabile. Alcuni non sono convinti che il colpevole sia uno zero-day, come mostrato nel tweet qui sotto.
Potrebbe volerci del tempo per confermare la causa di questa nuova ondata di attacchi, che si tratti di una vulnerabilità della sicurezza o altro.
LockBit 3.0 pone gravi minacce ai dati privati
LockBit 3.0 (noto anche come LockBit Black) è l'ultima versione di
Famiglia LockBit ransomware-as-a-service (RaaS)., succedendo a LockBit 1.0 e 2.0. Questo particolare ceppo di ransomware è stato scoperto per la prima volta nella primavera del 2022 ed è già popolare tra i criminali informatici.Oltre a crittografare ed esfiltrare i dati, LockBit 3.0 può anche eliminare determinati servizi o funzionalità per rendere il processo di crittografia ed esfiltrazione più rapido e semplice. Una volta che i file della vittima sono stati crittografati e rubati, lo sfondo del dispositivo infetto cambierà per mostrare al bersaglio che è stato attaccato.
Microsoft Exchange non è un hack sconosciuto
Al momento in cui scriviamo, Microsoft sta già lavorando alla distribuzione di patch per due ulteriori vulnerabilità, CVE-2022-41040 e CVE-2022-41082.
Nell'estate del 2022, gli aggressori hanno implementato la web shell e sono riusciti a rubare oltre 1,3 TB di dati dagli account Microsoft Exchange. Ciò è stato fatto sfruttando le due suddette vulnerabilità di sicurezza.
È importante notare che non si pensa che gli hack estivi e autunnali siano stati eseguiti attraverso le stesse vulnerabilità. Questo perché le tecniche di attacco non sembrano sovrapporsi.
LockBit Ransomware è una minaccia continua
Da quando è stata rilasciata la sua prima iterazione, il ransomware LockBit ha rappresentato serie minacce per obiettivi in tutto il mondo. Con il modello ransomware-as-a-service di LockBit che offre ransomware a una base crescente di utenti paganti, la possibilità di nuovi attacchi aumenta nel tempo. Chissà quale piattaforma verrà presa di mira da un operatore LockBit dannoso.
