L'Unità 42, il gruppo di ricerca di Palo Alto Networks, ha pubblicato un rapporto di ricerca su un nuovo worm peer-to-peer (P2P) che prende di mira il cloud, soprannominato P2PInfect. Questo worm prende di mira i sistemi Redis vulnerabili con exploit efficaci per i container. Allo stesso tempo, l'Unità 42 ha anche pubblicato un rapporto sul ransomware Mallox. I ricercatori hanno osservato un aumento dell'attività di quasi il 50%, con server MS-SQL sfruttati per diffondere il ransomware.
L'11 luglio 2023, i ricercatori cloud dell'Unità 42 hanno scoperto un nuovo worm peer-to-peer (P2P) che hanno soprannominato P2PInfect. Scritto nel linguaggio di programmazione Rust altamente scalabile e compatibile con il cloud, questo worm è in grado di infettare tutte le piattaforme. Si rivolge a Redis, una popolare applicazione di database open source ampiamente utilizzata negli ambienti cloud.
P2PInfect - un worm peer-to-peer autoreplicante
Le istanze Redis possono essere eseguite su entrambi i sistemi operativi Linux e Windows. I ricercatori dell'Unità 42 hanno identificato oltre 307.000 sistemi Redis che hanno comunicato pubblicamente nelle ultime due settimane, di cui 934 potrebbero essere vulnerabili a questa variante del worm P2P. Anche se non tutte le 307.000 istanze Redis sono vulnerabili, il worm attaccherà comunque quei sistemi e tenterà di comprometterli.
Il worm P2PInfect infetta le istanze Redis vulnerabili sfruttando la vulnerabilità Lua sandbox escape (CVE-2022-0543). Ciò rende il worm P2PInfect più efficace per il funzionamento e la diffusione in ambienti di container cloud. Qui, i ricercatori dell'Unità 42 hanno scoperto il worm compromettendo un'istanza di container Redis nel loro ambiente HoneyCloud.
Il verme attacca il contenitore Redis nel vaso del miele
Si tratta di un insieme di honeypot progettati per identificare e indagare su nuovi attacchi basati su cloud in ambienti cloud pubblici. Sebbene la vulnerabilità sia stata annunciata nel 2022, la sua portata non è ancora del tutto nota. Tuttavia, è valutato con un punteggio CVSS critico di 10,0 nel NIST National Vulnerability Database. Inoltre, il fatto che P2PInfect sfrutti i server Redis in esecuzione su entrambi i sistemi operativi Linux e Windows lo rende più scalabile ed efficace rispetto ad altri worm. Il worm P2P osservato dai ricercatori serve da esempio di un grave attacco che sarebbe possibile utilizzando questa vulnerabilità.
Mallox Ransomware: aumento significativo dell'attività
🔎 Registrazione di un attacco Mallox da parte di una soluzione XDR (Immagine: Palo Alto Networks).
Mallox, noto anche come TargetCompany, Fargo e Tohnichi, è un ransomware che prende di mira i sistemi Microsoft (MS) Windows. Attivo da giugno 2021, si caratterizza per lo sfruttamento di server MS-SQL non sicuri come vettore di penetrazione per compromettere le reti delle vittime.
Recentemente, i ricercatori dell'Unità 42 hanno osservato un aumento dell'attività del ransomware Mallox. Dall'inizio del 2023, le attività di Mallox sono aumentate costantemente. Secondo la telemetria e i dati open source, il numero di attacchi Mallox è aumentato del 2023% nel 2022 rispetto al 174. Il gruppo ransomware Mallox miete centinaia di vittime. Sebbene il numero effettivo delle vittime sia sconosciuto, i dati di telemetria dell'Unità 42 suggeriscono dozzine di potenziali vittime in tutto il mondo, distribuite in vari settori tra cui produzione, servizi professionali e legali, commercio all'ingrosso e al dettaglio.
Mallox usa il doppio ricatto
Come molti altri gruppi di ransomware, il ransomware Mallox segue la tendenza del doppio riscatto: gli aggressori rubano dati, crittografano i file e minacciano di pubblicare i dati rubati su un sito Web che perde per convincere le vittime a pagare il riscatto. Ogni vittima riceve una chiave privata per comunicare con il gruppo tramite il browser Tor e negoziare termini e pagamento.
I ricercatori consigliano di utilizzare una soluzione XDR/EDR per eseguire l'ispezione in memoria e rilevare le tecniche di iniezione del processo. La caccia alle minacce consente alle organizzazioni di cercare segnali di comportamenti insoliti correlati all'elusione dei prodotti di sicurezza, agli account di servizio di spostamento laterale e al comportamento degli utenti correlato agli amministratori di dominio.
Altro su PaloAltoNetworks.com
A proposito di Palo Alto Networks Palo Alto Networks, leader globale nelle soluzioni di sicurezza informatica, sta plasmando il futuro basato sul cloud con tecnologie che trasformano il modo in cui lavorano le persone e le aziende. La nostra missione è essere il partner preferito per la sicurezza informatica e proteggere il nostro stile di vita digitale. Ti aiutiamo ad affrontare le maggiori sfide di sicurezza del mondo con un'innovazione continua che sfrutta le ultime scoperte in termini di intelligenza artificiale, analisi, automazione e orchestrazione. Fornendo una piattaforma integrata e potenziando un ecosistema di partner in crescita, siamo leader nella protezione di decine di migliaia di aziende su cloud, reti e dispositivi mobili. La nostra visione è un mondo in cui ogni giorno è più sicuro di quello precedente.