Microsoft a remediat un bug al Windows de tip "zero-day" folosit în atacurile ransomware
0Microsoft a remediat o vulnerabilitate zero-day care afecta toate versiunile suportate de Windows, și care, potrivit cercetatorilor, a fost exploatata de hackeri pentru a lansa atacuri de tip ransomware.
Microsoft a anunțat marți că atacatorii care a exploatat cu succes vulnerabilitatea din Windows Common Log File System (CLFS) puteau avea acces complet la un sistem neactualizat. Microsoft a confirmat ca atacatorii au exploatat activ vulnerabilitatea.
Compania rusă de securitate cibernetică Kaspersky susține că această vulnerabilitate a fost folosită pentru a instala ransomware-ul Nokoyawa, care vizează în principal serverele Windows ale intreprinderilor mici și mijlocii din Orientul Mijlociu, America de Nord și Asia.
În analiza sa asupra bug-ului, Kaspersky spune ca vulnerabilitatea zero-day se remarcă prin faptul că este exploatată activ de către infractorii cibernetici motivați financiar.
"Grupările de criminalitate cibernetică devin din ce în ce mai sofisticate folosind exploatările zero-day în atacurile lor", a declarat Boris Larin, cercetător șef în domeniul securității la Kaspersky. "In trecut, acestea erau in principal o unealta a actorilor APT, dar acum infractorii cibernetici au resursele necesare pentru a descoperi vulnerabilități zero-day pe care le folosesc în mod obișnuit în atacuri."
Nokoyawa a fost observată pentru prima dată în februarie 2022 și se crede că este legat de grupul Hive ransomware, care a fost infiltrat de forțele de ordine și închis în luna ianuarie. "Cele doua familii au unele asemanari izbitoare în lanțul de atacuri, de la instrumentele folosite până la ordinea în care execută diverse etape", notează Trend Micro într-o analiză la momentul respectiv.
Malware-ul Nokoyawa criptează fișierele sistemelor pe care le compromite, dar operatorii susțin că fură și informații valoroase, pe care amenință ca le vor dezvalui, cu excepția cazului în care se plătește o rascumpărare.
Agenția americană de securitate cibernetică CISA a adăugat vulnerabilitatea Windows remediată recent la catalogul său de vulnerabilități exploatate cunoscute și a cerut agențiilor federale să își actualizeze sistemele până la data de 2 mai.
Microsoft a remediat aproape 100 de probleme în cadrul actualizării sale regulate ”Patch Tuesday”. Gigantul tech a remediat, de asemenea, o vulnerabilitate de executare de cod la distanță care putea permite unui atacator neautentificat sa ruleze cod de la distanță cu privilegii crescute pe serverele cu serviciul Microsoft’s Message Queuing activat.