WickrMe Ransomware

WickrMe Ransomware Descrizione

È iniziata una nuova operazione di ransomware destinata ai server Microsoft SharePoint, segnando la prima volta che questo particolare punto di ingresso è stato utilizzato per infiltrarsi in reti aziendali private e distribuire ransomware. Gli obiettivi precedenti di campagne simili erano i server di posta elettronica di Microsoft Exchange, i gateway Citrix, i bilanciatori di carico BIG-IP F5 e i prodotti VPN rilasciati da Pulse Secure, Fortinet e Palo Alto Network.

La campagna di attacco viene monitorata dai fornitori di sicurezza come WickrMe Ransomware (Hello) a causa dell'uso di account IM crittografati Wickr come parte dei canali di comunicazione che le vittime possono utilizzare per raggiungere i criminali informatici. Il vettore di compromesso iniziale sfruttato da WickMe Ransomware è una vulnerabilità nota (CVE-2019-0604) che colpisce i server di collaborazione del team SharePoint di Microsoft. L'exploit consente all'attore della minaccia di stabilire il controllo sul server SharePoint e fornire una shell Web danneggiata. Il passaggio successivo prevede la creazione di una backdoor installando un beacon Cobalt Strike. Gli hacker possono quindi eseguire script PowerShell automatizzati che alla fine lasceranno cadere ed eseguiranno il payload finale, la minaccia Hello Ransomware, sui sistemi compromessi.

Le aziende sono state avvertite dell'exploit

L'anno scorso, Microsoft ha pubblicato un post sul blog, affrontando il significativo aumento delle campagne di attacco osservate che hanno preso di mira le vulnerabilità nei dispositivi di rete come gateway per la consegna di minacce ransomware. Tra le vulnerabilità specifiche menzionate nell'articolo c'era anche CVE-2019-0604. Microsoft esorta le aziende a correggere la raccolta di exploit che, secondo loro, potrebbero presto essere presi di mira dai gruppi di ransomware.

Lo stesso bug del server SharePoint è stato sfruttato in precedenza in campagne lanciate da criminali informatici, gruppi di spionaggio sponsorizzati dallo stato e APT (Advanced Persistent Threats).

Lascia un commento

NON utilizzare questo sistema di commenti per domande di supporto o fatturazione. Per richieste di supporto tecnico SpyHunter, si prega di contattare direttamente il nostro team di supporto tecnico aprendo un ticket di supporto clienti tramite SpyHunter. Per problemi di fatturazione, fai riferimento alla nostra pagina "Domande o problemi di fatturazione?". Per domande generali (reclami, legali, stampa, marketing, copyright), visita la nostra pagina "Richieste di informazioni e feedback".


HTML non è consentito.