WickrMe Ransomware

Entro Mezo nel Ransomware

Traduci in:

È iniziata una nuova operazione di ransomware destinata ai server Microsoft SharePoint, segnando la prima volta che questo particolare punto di ingresso è stato utilizzato per infiltrarsi in reti aziendali private e distribuire ransomware. Gli obiettivi precedenti di campagne simili erano i server di posta elettronica di Microsoft Exchange, i gateway Citrix, i bilanciatori di carico BIG-IP F5 e i prodotti VPN rilasciati da Pulse Secure, Fortinet e Palo Alto Network.

La campagna di attacco viene monitorata dai fornitori di sicurezza come WickrMe Ransomware (Hello) a causa dell'uso di account IM crittografati Wickr come parte dei canali di comunicazione che le vittime possono utilizzare per raggiungere i criminali informatici. Il vettore di compromesso iniziale sfruttato da WickMe Ransomware è una vulnerabilità nota (CVE-2019-0604) che colpisce i server di collaborazione del team SharePoint di Microsoft. L'exploit consente all'attore della minaccia di stabilire il controllo sul server SharePoint e fornire una shell Web danneggiata. Il passaggio successivo prevede la creazione di una backdoor installando un beacon Cobalt Strike. Gli hacker possono quindi eseguire script PowerShell automatizzati che alla fine lasceranno cadere ed eseguiranno il payload finale, la minaccia Hello Ransomware, sui sistemi compromessi.

Le aziende sono state avvertite dell'exploit

L'anno scorso, Microsoft ha pubblicato un post sul blog, affrontando il significativo aumento delle campagne di attacco osservate che hanno preso di mira le vulnerabilità nei dispositivi di rete come gateway per la consegna di minacce ransomware. Tra le vulnerabilità specifiche menzionate nell'articolo c'era anche CVE-2019-0604. Microsoft esorta le aziende a correggere la raccolta di exploit che, secondo loro, potrebbero presto essere presi di mira dai gruppi di ransomware.

Lo stesso bug del server SharePoint è stato sfruttato in precedenza in campagne lanciate da criminali informatici, gruppi di spionaggio sponsorizzati dallo stato e APT (Advanced Persistent Threats).

Ricerca

Cambia regione

WickrMe Ransomware

Invia commento

Tendenza

Safe Search Eng

MarioLocker Ransomware

Il mio sfondo

I più visti

Lookmovie.io è sicuro?

Come correggere l'errore "Driver della stampante non...

Discord mostra lo schermo nero durante la...