Gli affiliati del ransomware LockBit sono stati sorpresi a distribuire il malware (si apre in una nuova scheda) tramite server Microsoft Exchange compromessi, hanno confermato diverse fonti.
Il problema è stato identificato per la prima volta dalla società di sicurezza informatica sudcoreana AhnLab. La scorsa estate, due server appartenenti a uno dei loro clienti sono stati infettati da LockBit 3.0. Secondo il rapporto, gli aggressori hanno prima implementato una web shell, quindi una settimana dopo hanno ceduto i privilegi all'amministratore di Active Directory, rubando circa 1,3 TB di dati e sistemi crittografati ospitati sulla rete.
Sebbene l'attacco sembri semplice in teoria, ci sono disaccordi sul modo in cui gli attori della minaccia sono riusciti ad ottenere l'accesso ai server in primo luogo.
Nuovo giorno zero?
AhnLab sembra ritenere che sia stato sfruttato un difetto zero-day: "Guardando la cronologia delle vulnerabilità di Microsoft Exchange Server, la vulnerabilità dell'esecuzione di codice in modalità remota è stata divulgata il 16 dicembre 2021 (CVE-2022-21969), l'elevazione della vulnerabilità dei privilegi è stata divulgata nel febbraio 2022 e la vulnerabilità più recente è stata il 27 giugno".
"Cioè, tra le vulnerabilità divulgate dopo maggio, non ci sono state segnalazioni di vulnerabilità relative a comandi remoti o creazione di file", ha affermato AhnLab nel suo rapporto.
"Pertanto, poiché WebShell è stato creato il 21 luglio, si prevede che l'attaccante abbia utilizzato una vulnerabilità zero-day non divulgata."
Security Affairs ha visto l'esperto di sicurezza informatica Kevin Beaumont intervenire sulla discussione, affermando che uno zero-day è una possibilità improbabile:
"C'è molto da fare in questo rapporto sul ransomware LockBit (si apre in una nuova scheda), e non sono convinto che sia zero-day (nessuna prova nel rapporto), ma devo tenerlo d'occhio", ha twittato.
Un altro ricercatore di sicurezza, Will Dormann, ha anche notato che il rapporto non punta a un nuovo giorno zero: "Finora ho esaminato solo una versione tradotta della pagina, ma quali prove vengono fornite che si tratti di una vulnerabilità diversa?" Ha aggiunto.
Tramite problemi di sicurezza (si apre in una nuova scheda)