Microsoft aveva rilevato un attacco ransomware, effettuato dal gruppo RansomEXX, che sfrutta la vulnerabilità CVE-2024-29824 di Windows. I ricercatori di Symantec hanno scoperto un altro attacco che potrebbe portare all’installazione del ransomware Play.
Patch disponibile dall’8 aprile
La vulnerabilità zero-day era presente nel Common Log File System Driver (clfs.sys). Il gruppo RansomEXX aveva sfruttato il bug per installare la backdoor PipeMagic, recuperare le credenziali di login dal processo LSASS e cifrare i file con il ransomware.
Nel caso scoperto da Symantec, i cybercriminali del gruppo Ballonfly hanno effettuato l’accesso a Windows attraverso una vulnerabilità del firewall Cisco ASA. Successivamente hanno raccolto informazioni sul sistema con l’infostealer Grixba e ottenuto privilegi elevati (SYSTEM), sfruttando la vulnerabilità zero-day presente nel driver CLFS.
I ricercatori non hanno ancora completato l’analisi dei file, ma Grixba viene quasi sempre utilizzato prima dell’installazione del ransomware Play (noto anche come PlayCrypt). È quindi molto probabile che l’attacco abbia portato alla cifratura dei file e alla richiesta di riscatto.
Il gruppo Ballonfly colpisce principalmente aziende e infrastrutture critiche in Europa, Nord America e Sud America. A fine 2023, FBI e CISA avevano pubblicato un avviso per specificare che il ransomware Play ha infettato le reti di oltre 300 organizzazioni nel mondo.
Microsoft ha rilasciato la patch l’8 aprile per tutte le versioni di Windows supportate, quindi è fortemente consigliata la sua installazione.
Ti potrebbe interessare
11 mag 2025