SysAid ha parcheado una vulnerabilidad de día cero que podría permitir a los atacantes filtrar datos y lanzar ransomware. El 8 de noviembre, SysAid, una empresa de software de gestión de servicios de TI con sede en Israel, informó sobre una vulnerabilidad de día cero potencialmente explotada en su software local. Se alentó a los usuarios de sus instalaciones de servidor local a ejecutar la versión 23.3.36, que contenía una solución. Microsoft Threat Intelligence analizó la amenaza y descubrió que Lace Tempest la había explotado. La vulnerabilidad fue explotada por el grupo de amenazas Lace Tempest, que distribuye el malware Clop, dijo Microsoft Threat Intelligence el 8 de noviembre en X (anteriormente Twitter). Los expertos en seguridad de Microsoft escribieron, en parte, «…Lace Tempest probablemente utilizará su acceso para filtrar datos e implementar el ransomware Clop». El objetivo final de ataques como este suele ser el movimiento lateral a través de un sistema, el robo de datos y el ransomware. Saltar a: Profero diagnosticó y SysAid parchó el ransomware Después de descubrir la vulnerabilidad potencial el 2 de noviembre, SysAid llamó a la empresa de respuesta rápida a incidentes Profero, con sede en Israel, que descubrió los detalles de la vulnerabilidad. Profero descubrió que el atacante utilizó una vulnerabilidad de recorrido de ruta para cargar un archivo WAR que contenía un WebShell y otras cargas útiles en la raíz web del servicio web SysAid Tomcat. A partir de ahí, Lace Tempest entregó un cargador de malware para el malware Gracewire. MITRE registró esta vulnerabilidad como CVE-2023-47246. Más cobertura de seguridad en la nube Cómo protegerse contra esta vulnerabilidad Clop SysAid proporcionó una lista de indicadores de compromiso y pasos a seguir en su publicación de blog sobre esta vulnerabilidad. Para proteger su organización contra este malware, SysAid enfatizó la importancia de descargar el parche. Las organizaciones deben revisar qué información puede haberse almacenado dentro de su servidor SysAid que podría resultar atractiva para los atacantes y verificar sus registros de actividad para detectar comportamientos no autorizados. Otras acciones recomendadas incluyen actualizar los sistemas SysAid y realizar una evaluación exhaustiva del compromiso de su servidor SysAid. El malware Clop se ha utilizado en rescates de alto perfil. El ransomware Clop entregado por atacantes al software local SysAid a través de la vulnerabilidad de recorrido de ruta apareció por primera vez en 2019. El malware Clop está asociado con un grupo de actores de amenazas alineado con Rusia conocido con el mismo nombre. que, según Microsoft, se «superpone» con Lace Tempest. En junio de 2023, Microsoft descubrió que Lace Tempest ejecutaba el sitio de extorsión que utiliza el malware Clop. VER: ¿Cómo será la ciberseguridad el próximo año? Las tendencias de ciberseguridad de Google Cloud a tener en cuenta en 2024 incluyen ataques generativos basados ​​en IA (TechRepublic). El grupo de ransomware Clop se ha atribuido la responsabilidad de varios ataques importantes en 2023. En junio, amenazaron con exponer datos de British Airways, BBC y el minorista británico Boots. También supuestamente estuvieron detrás del ataque de ransomware MOVEit Transfer en junio.

Source link