Checkmarks: tool automatizzato per bucare Exchange

Checkmarks: tool automatizzato per bucare Exchange

Il gruppo FIN7 utilizza il tool Checkmarks per cercare server Microsoft Exchange vulnerabili ed effettuare attacchi ransomware in modo automatizzato.
Il gruppo FIN7 utilizza il tool Checkmarks per cercare server Microsoft Exchange vulnerabili ed effettuare attacchi ransomware in modo automatizzato.

I ricercatori di Prodaft hanno scoperto che il gruppo FIN7 utilizza un sistema automatizzato, denominato Checkmarks, per sfruttare le vulnerabilità dei server Microsoft Exchange. Gli attacchi vengono effettuati direttamente oppure da altri cybercriminali che acquistano l’accesso iniziale. La maggioranza delle aziende colpite si trova negli Stati Uniti, ma molte sono anche in Italia.

Checkmarks: scanner di vulnerabilità

FIN7 è un gruppo di cybercriminali russi noto per aver effettuato attacchi usando varie tecniche (anche con una pen drive USB inviata tramite posta ordinaria). Chechmarks è un sistema che automatizza la scansione dei server Microsoft Exchange per individuare quelli non aggiornati. In particolare vengono sfruttate vulnerabilità che consentono l’esecuzione di codice remoto e l’elevazione dei privilegi.

Il tool effettua inoltre la scansione con SQLMap per trovare server vulnerabili agli attacchi SQL Injection. Dopo aver ottenuto l’accesso iniziale, Checkmarks estrae automaticamente le informazioni dei server e le email da Active Directory. Le vittime sono aggiunte ad un pannello di controllo che fornisce dettagli completi sui server.

A questo punto inizia il lavoro del team “marketing” di FIN7 che raccoglie informazioni sulle aziende, tra cui entrate finanziarie, numero di dipendenti e mercato di riferimento. Lo scopo è determinare la possibilità di successo degli attacchi ransomware, ovvero i profitti derivanti dalla richiesta di riscatto.

FIN7 ha legami con altri gruppi di cybercriminali, tra cui DarkSide, Black Basta, REvil e LockBit, ai quali viene venduto l’accesso ai server. Dopo aver completato l’attacco ransomware viene infatti lasciata una backdoor SSH che può essere utilizzata dai loro “colleghi”.

Questo articolo contiene link di affiliazione: acquisti o ordini effettuati tramite tali link permetteranno al nostro sito di ricevere una commissione. Le offerte potrebbero subire variazioni di prezzo dopo la pubblicazione.

Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il 23 dic 2022
Link copiato negli appunti