Come previsto proseguono gli attacchi contro SharePoint Server. Nonostante la disponibilità delle patch ci sono ancora molti server vulnerabili. I ricercatori della Unit 42 di Palo Alto Networks hanno scoperto il ransomware 4L4MD4R che si aggiunge a Warlock, individuato da Microsoft. In base agli ultimi dati sono quasi 150 le vittime in tutto il mondo.
Installare le patch con urgenza
Le due vulnerabilità, note complessivamente come ToolShell, sono state scoperte da Eye Security il 18 luglio. Sono due bug derivanti dalla correzione parziale di precedenti vulnerabilità e permettono di caricare un file ASPX sui server SharePoint che estrae le chiavi crittografiche sfruttate per ottenere l’accesso senza credenziali di login.
Il problema di sicurezza riguarda le versione “on-premises” di SharePoint Server 2016/2019 e Subscription Edition. Microsoft ha rilasciato le relative patch il 20-21 luglio, ma poche ore dopo sono stati rilevati numerosi attacchi da parte di cybercriminali cinesi. Il gruppo Storm-2603 ha usato il ransomware Warlock.
Durante il monitoraggio degli attacchi, i ricercatori di Palo Alto Network hanno rilevato il nuovo ransomware 4L4MD4R, variante del ransomware open source Mauri870. In dettaglio è stato individuato il loader che scarica ed esegue il ransomware.
Analizzando il codice, gli esperti della Unity 42 hanno scoperto che 4L4MD4R è scritto il linguaggio Go. Quando eseguito viene decifrato e caricato in memoria il payload che avvia la cifratura dei file. Al termine dell’operazione vengono copiati due file HTML sul computer. In uno c’è l’elenco dei file cifrati, mentre nell’altro ci sono le istruzioni da seguire per contattare i cybercriminali e pagare un riscatto di 0,005 Bitcoin (circa 500 dollari).
Purtroppo questi attacchi continueranno per molti giorni. Le aziende devono quindi installare le patch con urgenza oppure passare alla versione cloud di SharePoint (il supporto per le versioni on-premises terminerà a luglio 2026).
Ti potrebbe interessare
5 ago 2025