Quando si tratta di abusare di un noto difetto in VMware Workspace One Access, gli attori delle minacce hanno deciso di alzare la posta introducendo il ransomware nel mix.
Un report Fortinet, che ha esaminato l'evoluzione degli attacchi nell'agosto di quest'anno, ha evidenziato un nuovo difetto nel prodotto VMware: una vulnerabilità legata all'esecuzione di codice in modalità remota dovuta all'iniezione di pattern lato server.
Il difetto è stato identificato come CVE-2022-22954 e si è presto scoperto che un noto attore di minacce, APT35 (noto anche come Rocket Kitten), lo stava usando. Un mese dopo, anche EnemyBot è saltato sul carro. Vari attori delle minacce stavano abusando del difetto per implementare la botnet Mira per attacchi DDoS o GuardMiner per estrarre criptovaluta per gli aggressori.
Inserisci RAR1 Riscatto
Ora, Fortinet ha notato che il difetto viene utilizzato per implementare lo strumento RAR1Ransom. BleepingComputer lo descrive come un "semplice strumento ransomware (si apre in una nuova scheda)" che abusa di WinRAR per comprimere i file della vittima e bloccarli con una password. Al termine dell'attività, assegna a tutti i file bloccati l'estensione .rar1. Per ottenere la password, le vittime devono pagare 2 XMR, ovvero circa 290 euro.
Va notato che questa non è una variante ransomware "classica", in quanto in realtà non crittografa i tuoi file, ma li blocca semplicemente in un archivio protetto da password.
Fortinet ha anche scoperto che l'indirizzo XMR a cui le vittime devono pagare è lo stesso utilizzato in GuardMiner.
VMware ha corretto la vulnerabilità dell'esecuzione di codice in modalità remota mesi fa, ma sembra che alcune organizzazioni non abbiano ancora patchato i propri endpoint e rimangano vulnerabili a una serie crescente di attacchi. Ha corretto il difetto insieme ad alcune altre vulnerabilità ad aprile e ha esortato i suoi utenti a non accontentarsi della correzione fornita in quel momento:
"Le soluzioni alternative, sebbene pratiche, non eliminano le vulnerabilità e possono introdurre ulteriori complessità che le patch non introdurrebbero", ha avvertito la società. "Sebbene la decisione di correggere o utilizzare la soluzione alternativa sia tua, VMware consiglia vivamente di applicare le patch come il modo più semplice e affidabile per risolvere questo problema."
Via: BleepingComputer (si apre in una nuova scheda)