Ransomware Clop: falla zero-day di SysAid sfruttata per gli attacchi

SysAid, società attiva nel contesto di software IT Service Management, è stata di recente presa di mira da cybercriminali che hanno sfruttato una falla nel software di gestione della società per accedere ai server aziendali.

Attraverso questa intrusione, i criminali informatici hanno agito sia rubando informazioni alla piattaforma, sia sfruttando l’accesso per diffondere il temuto ransomware Clop. Questo attacco, d’altro canto, è noto per sfruttare exploit di questo tipo: nel corso degli scorsi mesi, infatti, il ransomware si è reso protagonista di diverse operazioni, con quella relativa a MOVEit che risulta essere la più clamorosa.

La falla che ha interessato SysAid, identificata come CVE-2023-47246, è stata individuata lo scorso 2 novembre dal team Microsoft Threat Intelligence che, una volta scoperta la vulnerabilità, ha prontamente avvertito l’azienda.

Il ransomware Clop torna a colpire: ecco come i cybercriminali hanno sfruttato l’exploit

L’indagine ha identificato una vulnerabilità di tipo path traversal, mai osservata prima, che ha portato all’esecuzione di codice malevolo da parte di personale non autorizzato.

Secondo i dati raccolti dal Microsoft Threat Intelligence, l’attacco è stato sferrato dal gruppo di cybercriminali noto come Lace Tempest o DEV-0950. A livello pratico, l’aggressore ha ottenuto accesso alla rete di SysAid, caricando su di esso un archivio con una WebShell e altri payload.

L’aggressore ha caricato un archivio contenente una WebShell e altri payload nella webroot del servizio Web SysAid Tomcat. Successivamente, l’aggressore ha utilizzato uno script PowerShell, distribuito tramite WebShell, per arrivare un malware (attraverso il file user.exe) sull’host compromesso, seguito dal trojan GraceWire.

Per quanto riguarda la prevenzione, a chiunque utilizzi SysAid On-Prem è fortemente consigliato l’aggiornamento alla versione 23.3.36 che include una patch in grado di rendere inefficace l’attacco.

Per avere la totale certezza che nessun dato è stato compromesso, poi è consigliabile eventuali registri di attività per rilevare comportamenti sospetti o altri segnali di attività da parte dei cybercriminali.