CISA e FBI hanno rilasciato un avviso congiunto di cybersecurity (CSA) in risposta a un recente sfruttamento di vulnerabilità attribuito al gruppo di ransomware CL0P. Questa guida congiunta fornisce indicatori di compromissione (IOC) e tattiche, tecniche e procedure (TTP) identificate attraverso le indagini dell’FBI fino a maggio di quest’anno. Inoltre, fornisce azioni immediate per aiutare a ridurre l’impatto del ransomware CL0P.
L’azione del gruppo di ransomware CL0P
Exploit zero-day di MOVEit: chi, come, perché e cosa fare
Il gruppo di ransomware CL0P, noto anche come TA505, ha presumibilmente iniziato a sfruttare una vulnerabilità di SQL injection precedentemente sconosciuta nella soluzione di trasferimento di file gestito (MFT) di Progress Software, nota come MOVEit Transfer. Le applicazioni web di MOVEit Transfer esposte su Internet sono state infettate con una web shell chiamata LEMURLOOT, che è stata poi utilizzata per rubare dati dalle basi di dati sottostanti di MOVEit Transfer.
Le raccomandazioni di CISA e FBI
CISA e FBI incoraggiano i difensori delle reti di tecnologia dell’informazione (IT) a rivedere l’Avviso di Trasferimento MOVEit e a implementare le mitigazioni raccomandate per ridurre il rischio di compromissione. Questo CSA congiunto fa parte di un continuo sforzo #StopRansomware per pubblicare avvisi per i difensori della rete che dettagliano varie varianti di ransomware e attori minacciosi di ransomware. Questi avvisi #StopRansomware includono TTP e IOC osservati recentemente e storicamente per aiutare le organizzazioni a proteggersi dal ransomware. Visitare stopransomware.gov per vedere tutti gli avvisi #StopRansomware e per saperne di più su altre minacce di ransomware e risorse senza costi.