E’ stata la cybergang Cl0p a sfruttare gli 0day di MOVEit Transfer. Lo riporta Microsoft e forse siamo solo all’inizio

Microsoft ha collegato la banda di ransomware Clop a un recente attacco che sfrutta una vulnerabilità zero-day nella piattaforma MOVEit Transfer per sottrarre dati alle organizzazioni .

“Microsoft attribuisce gli attacchi che sfruttano la vulnerabilità CVE-2023-34362 MOVEit Transfer 0 – day al gruppo di criminali informatici Lace Tempest, noto per il ransomware che gestisce il sito di perdite di Clop”, ha twittato ieri sera il team di Microsoft Threat Intelligence.

“Lace Tempest” è il nuovo nome, secondo la classificazione aggiornata di Microsoft, per il raggruppamento, meglio noto come TA505, FIN11 o DEV-0950. “Gli aggressori hanno utilizzato vulnerabilità simili in passato per rubare dati ed estorcere vittime”, hanno aggiunto.

MOVEit Transfer è una soluzione Managed File Transfer (MFT) che consente alle aziende di trasferire in modo sicuro file tra partner commerciali e clienti utilizzando download basati su SFTP, SCP e HTTP.

Si ritiene che l’attacco al servizio sia iniziato il 27 maggio, durante la lunga festa del Memorial Day negli Stati Uniti, quando si è saputo delle numerose organizzazioni i cui dati erano stati rubati.

Gli aggressori hanno utilizzato la vulnerabilità zero-day di MOVEit per impiantare webshell sui server, consentendo loro di estrarre un elenco di file archiviati nei server, caricare file e rubare credenziali/segreti per i container di archiviazione BLOB di Azure configurati.

Sebbene all’epoca non fosse chiaro chi ci fosse dietro gli attacchi, era opinione diffusa che il ransomware Clop fosse responsabile dell’attacco a causa delle somiglianze con i precedenti attacchi effettuati dal gruppo. 

Dopotutto, è stato questo gruppo a realizzare due dei più grandi attacchi informatici nella storia delle piattaforme MFT. Il primo si è verificato nel 2020, quando Clop ha sfruttato la vulnerabilità zero-day di Accellion FTA. E il secondo è avvenuto a gennaio di quest’anno, sempre a causa di una vulnerabilità zero-day, ma già nel Fortra GoAnywhere MFT. Come risultato di entrambi gli attacchi, gli hacker di Clop hanno rilevato i dati di centinaia di organizzazioni.

Allo stato attuale la fase dell’estorsione non è ancora iniziata e le vittime non hanno ancora ricevuto richieste di riscatto. Tuttavia, è noto che la banda di Clop, se Microsoft non si è sbagliata nei propri giudizi, attende diverse settimane dopo il furto. Forse gli hacker strutturano i dati rubati e ne determinano il valore. E solo quando saranno pronti, invieranno via e-mail le loro richieste ai vertici delle aziende interessate.

Dopo l’attacco a GoAnywhere, ci è voluto poco più di un mese prima che gli hacker pubblicassero un elenco delle vittime sul loro sito di leak. Questa volta, è probabile che tu debba anche aspettare un po’. Ti terremo informato.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Agostino Pellegrino

E’ un libero professionista, insegnante e perito di informatica Forense, Cyber Security ed Ethical Hacking e Network Management. Ha collaborato con importanti istituti di formazione a livello internazionale e ha esercitato teaching e tutorship in tecniche avanzate di Offensive Security per la NATO ottenendo importanti riconoscimenti dal Governo degli Stati Uniti. Il suo motto è “Studio. Sempre”.

Aree di competenza: Cybersecurity architecture, Threat intelligence, Digital forensics, Offensive security, Incident response & SOAR, Malware analysis, Compliance & frameworks