Gli attacchi ransomware TellYouThePass prendono di mira i server Apache ActiveMQ esposti su Internet, sfruttando una grave vulnerabilità di esecuzione remota di codice (RCE), nota come CVE-2023-46604, che era stata precedentemente sfruttata in attacchi zero-day.
Questa vulnerabilità critica nel broker di messaggi ActiveMQ, una soluzione open-source e scalabile, permette agli aggressori non autenticati di eseguire comandi shell arbitrari sui server compromessi.
Nonostante Apache abbia rilasciato aggiornamenti di sicurezza il 27 ottobre per correggere la vulnerabilità, le aziende di cybersecurity ArcticWolf e Huntress Labs hanno rilevato che gli attori di minaccia hanno sfruttato la falla come zero-day per distribuire il malware SparkRAT per più di due settimane, a partire dal 10 ottobre.
Dati forniti dal servizio di monitoraggio delle minacce ShadowServer indicano che attualmente più di 9.200 server Apache ActiveMQ sono esposti online, con oltre 4.770 vulnerabili agli exploit di CVE-2023-46604.
L’uso di Apache ActiveMQ come broker di messaggi in ambienti aziendali rende l’applicazione degli aggiornamenti di sicurezza una questione di estrema urgenza.
Si consiglia agli amministratori di applicare immediatamente le patch ai sistemi vulnerabili, aggiornando alle versioni di ActiveMQ 5.15.16, 5.16.7, 5.17.6 e 5.18.3.
Attacchi Ransomware mirati dopo l’aggiornamento di sicurezza
Una settimana dopo la correzione di questa vulnerabilità critica di ActiveMQ da parte di Apache, Huntress Labs e Rapid7 hanno segnalato che gli attacchi sfruttavano il bug per distribuire carichi di ransomware HelloKitty nelle reti dei clienti.
I ricercatori di sicurezza di entrambe le aziende hanno osservato gli attacchi a partire dal 27 ottobre, immediatamente dopo il rilascio delle patch di sicurezza da parte di Apache.
Arctic Wolf Labs ha rivelato che gli attori della minaccia che sfruttano attivamente la falla CVE-2023-46604 la utilizzano anche per ottenere accesso iniziale in attacchi mirati ai sistemi Linux, diffondendo il ransomware TellYouThePass.
I ricercatori hanno inoltre trovato somiglianze tra gli attacchi HelloKitty e TellYouThePass, con entrambe le campagne che condividono indirizzi email, infrastrutture e indirizzi dei portafogli bitcoin.
“L’evidenza dello sfruttamento della CVE-2023-46604 in attività dannose da parte di un assortimento di attori della minaccia con obiettivi diversi dimostra la necessità di una rapida rimediazione di questa vulnerabilità,” hanno avvertito i ricercatori di Arctic Wolf.
Il ransomware TellYouThePass ha registrato un’improvvisa e massiccia ondata di attività dopo il rilascio online di exploit proof-of-concept di Log4Shell due anni fa.
Con il suo ritorno come malware compilato in Golang nel dicembre 2021, la variante di ransomware ha aggiunto la capacità di colpire piattaforme trasversali, rendendo possibile attaccare sistemi Linux e macOS (campioni di macOS non sono ancora stati avvistati “in the wild”).