Sono 30.000 le organizzazioni che potrebbero essere già state colpite negli Stati Uniti, ma il numero a livello globale potrebbe essere molto più grande. L'ultimo controllo di Shodan da parte di Trend Micro ha rivelato che sono circa 63.000 i server esposti vulnerabili a questi exploit, mentre secondo Palo Alto Networks sarebbero oltre 125.000.

L'applicazione immediata delle patch disponibili deve essere una priorità assoluta, oppure, ove non fosse possibile, è necessario disconnettere tutti i server vulnerabili che potrebbero essere in esecuzione. Al momento, chiunque abbia un server Microsoft Exchange deve investigare per verificare se ci sono segni di compromissione.

Che cosa è successo?

I primi attacchi risalgono al 6 gennaio scorso, quando un nuovo gruppo di minacce, etichettato da Microsoft con il nome di "Hafnium", ha cominciato a sfruttare 4 bug zero-day all'interno di Microsoft Exchange Server.

Spunti di approfondimento:

Hackerate 150mila videocamere di sorveglianza, tra cui quelle di Tesla

In aumento il phishing che usa il vaccino antiCovid come esca

Studenti e lavoratori in smart working nel mirino dei ransomware

Sciami di router nelle nostre case conoscono la nostra posizione

Se il Microsoft Threat Intelligence Center (MSTIC) attribuisce la campagna iniziale a Hafium, un gruppo ritenuto sponsorizzato dallo stato e operante in Cina, altri team di intelligence, tra cui MSTIC e Unit 42, stanno anche osservando come altri gruppi di hacker stiano sfruttando queste vulnerabilità zero-day.

Le minacce utilizzavano dei virtual private server (VPS) negli Stati Uniti per nascondere la reale ubicazione. Microsoft ha fornito delle patch di emergenza la scorsa settimana. Le vulnerabilità possono essere sfruttate per eseguire codici, scrivere file, rubare dati e ulteriori azioni dannose come ad esempio la distribuzione di ransomware all'interno delle organizzazioni vittime. Le vulnerabilità infatti permettono di eseguire un codice arbitrario all'interno del contesto di Exchange Server e di dare accesso completo agli account di posta elettronica sul server.

Consigliamo la lettura di:

Sms svuota conto corrente: occhio alla truffa

Il lato umano del ransomware

Kobalos, la piccola ma insidiosa minaccia Linux

10 suggerimenti per proteggersi dagli attacchi DDoS

In tutto il mondo c'è molta preoccupazione per la vasta portata di questa campagna cybercriminale e sono molte le istituzioni in allerta, come la Casa Bianca e la Cybersecurity and Infrastructure Security Agency (CISA).

Il numero stimato di organizzazioni potenzialmente compromesse è di decine di migliaia a livello globale. In particolare, queste vulnerabilità sono state attivamente sfruttate per almeno due mesi prima che le patch di sicurezza fossero disponibili. Di conseguenza, anche se la patch è stata applicata immediatamente, i server Exchange potrebbero ancora essere compromessi.

Secondo i dati raccolti da Palo Alto Networks, questa sarebbe la classifica dei paesi con il maggior numero di server Exchange vulnerabili confermati, con l'Italia al quinto posto:
- USA: 33000
- Germania: 21000
- Regno Unito: 7900
- Francia: 5100
- Italia: 4.600

Spunti di approfondimento:

Data Privacy Day: 5 consigli per gestire e proteggere i dati

Campagna malware ancora in corso colpisce Linux, soprattutto in Italia

Il disastro tragicomico di Parler

I principali trend per la sicurezza informatica del 2021

Secondo invece una stima di Kaspersky, sarebbe l'Europa la più colpita. Il numero più alto di utenti presi di mira si trova in Germania con il 26,93%. L'Italia, l'Austria, la Svizzera e gli Stati Uniti sono tra gli altri Paesi maggiormente colpiti:

- Germania 26.93%
- Italia 9.00%
- Austria 5.72%
- Svizzera 4.81%
- Stati Uniti 4.73%

Leggi anche:

Il phishing evolve verso il machine learning

Sito per testare la competenza di sicurezza informatica aveva falle di sicurezza...

Gli attacchi ransomware diventano sempre più sofisticati

La tecnologia at-home come gateway all'impresa

Come sapere se si è stati colpiti?

Microsoft ha inizialmente affermato che Hafnium ha preso di mira organizzazioni in settori come quello della ricerca sulle malattie infettive, dell'istruzione, della difesa, legal e NGO. Esiste però l'ipotesi che l'ondata di attacco più recente possa essere opera di un altro gruppo cyber criminale e si possa abbattere su settori con meno risorse per la cybersecurity, come le PMI o le organizzazioni governative locali.

Chi utilizza Microsoft Exchange Server può seguire i seguenti passi per scoprire se è stato colpito dall'attacco:

Leggi anche:

Windows 7 e Office 2010 sono ancora supportati, ma non da Microsoft

E se il tuo stipendio finisse nelle tasche di un hacker?

Ricercatore di sicurezza dice di aver indovinato la password di Trump su Twitter

Qnap, Nas vulnerabili alla falla Zerologon di Windows

- Scansionare i log di Exchange Server con lo strumento di rilevamento Microsoft per verificare la compromissione.

- Effettuare una ricerca con strumenti come Trend Micro Vision One oppure Kaspersky Endpoint Detection and Response per verificare gli indicatori di compromissione conosciuti che sono associati a questa campagna.

Consultare la pagina dedicata con tutte le informazioni sulle protezioni specifiche per questa campagna cyber criminale. Un'altra risorsa utile è l'articolo di Unit 42, il threat intelligence team di Palo Alto Networks. Utile anche consultare questa pagina presso Securelist.

Articoli raccomandati:

Gli hacker sfruttano il Covid di Trump

4 dipendenti su 5 non intendono abbandonare lo smart working

Malware e codici QR: smartphone bersagli interessanti, utenti distratti

Ransomware blocca ospedale, muore una paziente

Come comportarsi in seguito all'analisi?

Se le scansioni non hanno rilevato alcuna compromissione è importante applicare le patch rilasciate da Microsoft il più in fretta possibile.

Se il sistema è invece stato colpito, bisogna attivare un piano di incident response:

Articoli raccomandati:

Il bug più serio mai scoperto in Windows

Un caso di ransomware finito bene offre lezioni utili per tutti

Duplicare una chiave col microfono dello smartphone

La maglietta del Camp

- Nel caso non si disponga di un team di security interno, contattare immediatamente il vendor o il provider per un supporto.
- Se si dispone di un team per la risposta agli incidenti, seguire i loro consigli.
- Non utilizzare nessuna macchina senza che sia stata effettuata una scansione forense per accertare gli indicatori di compromissione.
- Contattare il team legal per le eventuali procedure di notifica violazione.

Anton Ivanov, VP Threat Research di Kaspersky, ha commentato a Zeus News: "Fin dall'inizio, ci era chiaro che i tentativi di sfruttare queste vulnerabilità sarebbero aumentati rapidamente ed è quello che stiamo osservando in questi giorni. Fino ad ora abbiamo rilevato questo tipo di attacchi in oltre un centinaio di Paesi situati in ogni parte del mondo. A causa della natura di queste vulnerabilità, numerose organizzazioni sono a rischio. Anche se gli attacchi iniziali miravano a target specifici non c'è motivo di pensare che gli attaccanti non vogliano provare a colpire altre organizzazioni con un server vulnerabile. Questi attacchi sono associati a un rischio elevato di furto di dati o anche ad attacchi ransomware. Per questo motivo le organizzazioni dovrebbero prevedere misure di protezione nel più breve tempo possibile".

Spunti di approfondimento:

Post scritto da una IA inganna 26.000 persone

Favicon sfruttate per rubare i dati delle carte di credito

Violata Email.it: sottratti dati di 600.000 utenti, password comprese

Trova una falla in iPhone, iPad e Mac, incassa 75.000 dollari