Microsoft ha rilevato attacchi ransomware che sfruttano le vulnerabilità di SharePoint Server. I cybercriminali cinesi del gruppo Storm-2603 hanno iniziato ad installare Warlock come ultimo step della catena di infezione. Altri attacchi sono stati effettuati dai gruppi Linen Typhoon e Violet Typhoon. Intanto sono già oltre 400 le vittime in tutto il mondo.
Pericolo ransomware per le aziende
Microsoft ha scoperto che almeno tre gruppi di cybercriminali cinesi, finanziati dal governo, sfruttano le vulnerabilità di SharePoint Server. Lo scopo di Linen Typhoon è rubare le proprietà intellettuali di aziende e organizzazioni governative. Violet Typhoon si occupa principalmente di cyberspionaggio. Il gruppo Storm-2603 è invece specializzato nella distribuzione di ransomware.
L’azienda di Redmond ha infatti rilevato attacchi con Warlock a partire dal 18 luglio. Sfruttando le due vulnerabilità, i cybercriminali riescono a caricare sui server lo script spinstall0.aspx e quindi eseguire comandi con il processo w3wp.exe. Successivamente cercano informazioni su utenti, gruppi e privilegi con whoami e altri comandi.
Sfruttando invece il componente services.exe viene disattivata la protezione di Microsoft Defender tramite modifica del registro. Storm-2603 stabilisce quindi la persistenza con attività pianificate e cerca le credenziali nella memoria del Local Security Authority Subsystem Service (LSASS) con Mimikatz.
I cybercriminali effettuano un movimento laterale (accesso agli altri computer collegati alla rete locale) con PsExec e Impacket. Infine distribuiscono il ransomware Warlock tramite Group Policy Objects (GPO).
Sia Eye Security che Shadowserver hanno individuato oltre 400 server vulnerabili. Tra le vittime ci sono National Nuclear Security Administration negli Stati Uniti, aziende e organizzazioni governative in Sudafrica, Olanda, Giordania e Mauritius. Il numero potrebbe aumentare nei prossimi giorni. È urgente installare le patch rilasciate da Microsoft.
