I ricercatori di Sophos hanno individuato diversi attacchi ransomware contro server WS_FTP non aggiornati. I cybercriminali del Reichsadler Cybercrime Group hanno tentato di sfruttare una delle vulnerabilità presenti nel software. La SEC (Securities and Exchange Commission) degli Stati Uniti ha intanto avviato un’indagine sulle vulnerabilità di MOVEit Transfer che hanno permesso al gruppo Clop di accedere ai dati di oltre 64 milioni di utenti.
Attacco ransomware contro WS_FTP
Gli esperti di Sophos sottolineano che la patch per la vulnerabilità CVE-2023-40044 è stata distribuita il 27 settembre, ma non tutti i server WS_FTP sono stati aggiornati (secondo Shodan sono quasi 2.000). I cybercriminali hanno quindi approfittato dell’occasione per tentare l’installazione di un ransomware creato con il builder LockBit 3.0 pubblicato online circa un anno fa.
La suddetta vulnerabilità, la più grave tra le otto e presente nel modulo Ad Hoc Transfer, consente di eseguire comandi remoti sul sistema operativo, Windows in questo caso. I cybercriminali hanno usato il tool open source GodPotato per ottenere privilegi SYSTEM. Fortunatamente la distribuzione del payload (ransomware) è stata bloccata dalle protezioni di Sophos.
Nonostante ciò, il Reichsadler Cybercrime Group ha chiesto il pagamento di un riscatto di 500 dollari in Bitcoin. Come detto, Progress Software ha già rilasciato tutte le patch. Gli utenti devono installare la versione 8.8.2 o successive di WS_FTP Server o disattivare il modulo Ad Hoc Transfer, se non necessario.
La SEC ha intanto avviato un’indagine sulle vulnerabilità di MOVEIt Transfer, sfruttate dal gruppo Clop per raccogliere i dati di oltre 64 milioni di utenti. Nel report trimestrale inviato alla SEC, la software house conferma l’indagine (pagine 20-21), specificando anche di aver ricevuto una richiesta di indennizzo da 23 persone e denunce relative a 58 class action.