I server WS_FTP esposti su Internet e non corretti contro una vulnerabilità di massima gravità sono ora presi di mira in attacchi ransomware. Come osservato di recente dai soccorritori dell’incidente Sophos X-Ops, gli attori della minaccia che si autodefiniscono come il Reichsadler Cybercrime Group hanno tentato, senza successo, di distribuire payload ransomware creati utilizzando un costruttore LockBit 3.0 rubato nel settembre 2022.
Gli attaccanti hanno tentato di aumentare i privilegi utilizzando lo strumento open-source GodPotato, che consente l’escalation di privilegi a ‘NT AUTHORITY\SYSTEM’ su piattaforme client Windows (da Windows 8 a Windows 11) e server (da Windows Server 2012 a Windows Server 2022). Fortunatamente, il loro tentativo di distribuire i payload ransomware sui sistemi della vittima è stato sventato, impedendo agli aggressori di crittografare i dati del bersaglio.
Anche se non sono riusciti a crittografare i file, gli attori della minaccia hanno comunque richiesto un riscatto di $500, pagabile entro il 15 ottobre, ora standard di Mosca. La bassa richiesta di riscatto suggerisce che i server WS_FTP esposti su Internet e vulnerabili vengano probabilmente presi di mira in attacchi automatizzati di massa o da un’operazione ransomware inesperta.
La società di sicurezza informatica Rapid7 ha rivelato che gli aggressori hanno iniziato a sfruttare CVE-2023-40044 il 30 settembre, il giorno in cui è stato rilasciato l’exploit PoC. “La catena di esecuzione del processo appare la stessa in tutte le istanze osservate, indicando una possibile sfruttamento di massa dei server WS_FTP vulnerabili”, ha avvertito Rapid7.
Le organizzazioni che non possono immediatamente correggere i loro server possono bloccare gli attacchi in arrivo disabilitando il modulo di trasferimento ad hoc vulnerabile del server WS_FTP.