Il software dimenticato, senza patch e obsoleto fornisce un punto di ingresso ideale per i criminali informatici. Questo è anche il caso nel caso attuale di un attacco ransomware che ha sfruttato il software Adobe ColdFusion di 11 anni su un server.
Sophos ha scoperto un attacco particolarmente sofisticato chiamato Cring Ransomware Exploits Ancient ColdFusion Server. Gli operatori del ransomware Cring hanno attaccato la loro vittima dopo aver violato un server che esegue una versione senza patch di 11 anni del software Adobe ColdFusion. La vittima ha utilizzato il server per raccogliere fogli di calcolo e dati contabili per le buste paga e per ospitare una serie di macchine virtuali. Gli aggressori sono penetrati nel server abilitato al Web in pochi minuti ed hanno eseguito il ransomware 79 ore dopo.
I criminali usavano tecniche sofisticate
L'indagine di Sophos ha rivelato che gli aggressori hanno utilizzato strumenti automatizzati per scansionare il sito Web della vittima come primo passo. Una volta scoperto che sul server era in esecuzione una versione senza patch di ColdFusion, sono riusciti a entrare in pochi minuti. Successivamente, utilizzano tecniche di copertura particolarmente sofisticate: avviano la codifica del codice nella memoria e coprono le loro tracce sovrascrivendo file contenenti dati danneggiati o registri cancellati e altri artefatti che i cacciatori di minacce utilizzano nelle loro indagini. Gli hacker sono stati anche in grado di disabilitare i prodotti di sicurezza perché la funzione anti-manomissione era disattivata. Infine, hanno rilasciato una nota in cui affermano di aver esfiltrato dati che rilasceranno se non si verificherà un "buon affare".
Il vecchio software è un gateway pericoloso
“I dispositivi che eseguono software vulnerabili e obsoleti sono esattamente i gateway che i criminali informatici cercano come percorso più semplice per raggiungere la loro vittima. Il ransomware Cring non è nuovo, ma è raro. Nel caso esaminato, l'obiettivo dell'attacco era una società di servizi in cui solo un server abilitato a Internet con software obsoleto e privo di patch ha aperto la porta all'attacco. La cosa sorprendente è che questo server era in uso quotidiano. Spesso i dispositivi più vulnerabili sono quelli inattivi, dimenticati o trascurati durante l'aggiornamento o l'applicazione di patch. Ma indipendentemente dallo stato (attivo o inattivo), i server o i dispositivi senza patch e abilitati a Internet sono gli obiettivi principali per i criminali informatici che scansionano i punti di ingresso vulnerabili. Gli amministratori IT dovrebbero quindi avere un inventario preciso di tutti i dispositivi connessi e non mettere sulla rete pubblica sistemi aziendali obsoleti e critici. Se le organizzazioni dispongono di tali dispositivi da qualche parte nella loro rete, possono essere quasi certe che i criminali informatici ne saranno attratti", ha dichiarato Andrew Brandt, Principal Researcher di Sophos.
Maggiori informazioni su Sophos.com
A proposito di Sophos Sophos gode della fiducia di oltre 100 milioni di utenti in 150 paesi. Offriamo la migliore protezione contro le minacce informatiche complesse e la perdita di dati. Le nostre soluzioni di sicurezza complete sono facili da implementare, utilizzare e gestire. Offrono il costo totale di proprietà più basso del settore. Sophos offre soluzioni di crittografia pluripremiate, soluzioni di sicurezza per endpoint, reti, dispositivi mobili, e-mail e web. C'è anche il supporto dei SophosLabs, la nostra rete globale di centri di analisi proprietari. Le sedi di Sophos sono a Boston, USA e Oxford, UK.