• BitMAT
  • BitMATv
  • Top Trade
  • Linea EDP
  • Itis Magazine
  • Industry 5.0
  • Sanità Digitale
  • ReStart in Green
  • Contattaci
Close Menu
LineaEDPLineaEDP
    Facebook X (Twitter) Vimeo Instagram LinkedIn RSS
    Trending
    • Lo streaming dei dati abilita l’innovazione dei prodotti AI
    • StarWind Software acquisita da DataCore
    • Dell Technologies per progettare data center più moderni
    • OVHcloud lancia il nuovo data center a Milano, con il Public Cloud disponibile nella multizona 3-AZ
    • Portworx e Red Hat per promuovere risparmi e semplicità operativa
    • Cyber attacchi: l’Italia è maglia nera mondiale
    • Navigare in rete in modo sicuro: consigli pratici ed accorgimenti per non correre rischi
    • Attacchi informatici: Russia, UE e Asia nel mirino
    Facebook X (Twitter) Vimeo Instagram LinkedIn RSS
    LineaEDPLineaEDP
    • Cio
    • Cloud
    • Mercato
    • News
    • Tecnologia
    • Case History
    • Report
    • Sicurezza
    • IOT
    LineaEDPLineaEDP
    Sei qui:Home»Rubriche»Sicurezza»Nokoyawa: zero-day di Microsoft Windows usato negli attacchi

    Nokoyawa: zero-day di Microsoft Windows usato negli attacchi

    By Redazione LineaEDP13/04/20234 Mins Read
    Facebook Twitter LinkedIn Reddit Telegram WhatsApp Email

    Un gruppo di criminali informatici ha utilizzato un exploit sviluppato per diverse versioni e build del sistema operativo Windows, tra cui Windows 11, e ha tentato di distribuire il ransomware Nokoyawa

    Darkside ransomware - Nokoyawa- Ranflood

    A febbraio, gli esperti di Kaspersky hanno scoperto un attacco che utilizzava una vulnerabilità zero-day nel Common Log File System (CLFS) di Microsoft. Un gruppo di criminali informatici ha utilizzato un exploit sviluppato per diverse versioni e build del sistema operativo Windows, tra cui Windows 11, e ha tentato di distribuire il ransomware Nokoyawa. Microsoft ha assegnato la CVE-2023-28252 a questa vulnerabilità e l’ha corretta ieri nell’ambito del Patch Tuesday. L’attore delle minacce ha anche cercato di eseguire exploit simili di escalation dei privilegi in attacchi a diverse piccole e medie imprese in Medio Oriente e Nord America, e in precedenza nelle regioni asiatiche.

    Mentre la maggior parte delle vulnerabilità scoperte da Kaspersky è utilizzata dalle APT, questa è invece sfruttata per scopi criminali da un gruppo specializzato che effettua attacchi ransomware e si distingue per l’utilizzo di exploit simili ma unici del Common Log File System (CLFS). Kaspersky ha visto almeno cinque diversi exploit di questo tipo: sono stati utilizzati in attacchi a diversi settori, tra cui vendita al dettaglio e all’ingrosso, energia, produzione, sanità, sviluppo di software.

    Microsoft ha assegnato la CVE-2023-28252 allo zero-day scoperto. Si tratta della vulnerabilità di escalation dei privilegi del Common Log File Ststem, che viene attivata dalla modifica del formato dei file utilizzati da questo sottosistema. I ricercatori di Kaspersky hanno scoperto la vulnerabilità a febbraio, a seguito di ulteriori controlli su una serie di tentativi di esecuzione di exploit simili di escalatioin dei privilegi su server Microsoft Windows appartenenti a diverse piccole e medie imprese nelle regioni del Medio Oriente e del Nord America.

    CVE-2023-28252 è stata individuata per la prima volta da Kaspersky in un attacco in cui i criminali informatici hanno provato a distribuire una versione più recente del ransomware Nokoyawa. Le vecchie versioni di questo ransomware erano solo varianti “ribrandizzate” del ransomware JSWorm, ma nell’attacco descritto, la variante Nokoyawa era ben distinta da JSWorm dal punto di vista della codifica.

    Richiesta di riscatto Nokoyawa

    L’exploit utilizzato nell’attacco è stato sviluppato per supportare diverse versioni e build del sistema operativo Windows, tra cui Windows 11. Gli attaccanti hanno utilizzato la vulnerabilità CVE-2023-28252 per effettuare l’eascalation dei privilegi e rubare le credenziali dal database Security Account Manager (SAM).

    “I gruppi di criminali informatici stanno diventando sempre più sofisticati nell’utilizzare gli exploit zero-day nei loro attacchi. In precedenza si trattava principalmente di uno strumento utilizzato dagli autori delle Advanced Persistent Threat (APT), ma ora i criminali informatici hanno le risorse per acquisire gli zero-day e utilizzarli abitualmente negli attacchi. Ci sono anche sviluppatori di exploit disposti ad aiutarli e a sviluppare exploit su exploit. È molto importante che le aziende scarichino l’ultima patch Microsoft il prima possibile e utilizzino altri metodi di protezione, come le soluzioni EDR”, ha commentato Boris Larin, Lead Security Researcher del Global Research and Analysis Team (GReAT) di Kaspersky.

    I prodotti Kaspersky rilevano e proteggono dallo sfruttamento di questa vulnerabilità e dal relativo malware. Ulteriori informazioni su questo nuovo zero-day sono disponibili su Securelist. Ulteriori dettagli saranno condivisi nove giorni dopo il Patch Tuesday di aprile, in modo che le aziende abbiano tempo sufficiente per applicare le patch ai loro sistemi.

    Per proteggere l’azienda da attacchi che sfruttano questa vulnerabilità, come Nokoyawa, gli esperti di Kaspersky consigliano di:

    · Aggiornare il prima possibile e regolarmente Microsoft Windows.

    · Utilizzare una soluzione affidabile per la sicurezza degli endpoint, come Kaspersky Endpoint Security for Business, con funzioni di prevenzione degli exploit, rilevamento dei comportamenti e un motore di remediation in grado di annullare le azioni dannose.

    · Installare soluzioni anti-APT e EDR, che consentano di individuare e rilevare le minacce, indagare e risolvere tempestivamente gli incidenti. Fornire al team SOC l’accesso alle informazioni più recenti sulle minacce e aggiornarlo regolarmente con una formazione professionale. Tutto questo è disponibile all’interno del framework Kaspersky Expert Security.

    · Oltre a un’adeguata protezione degli endpoint, i servizi dedicati possono aiutare a contrastare gli attacchi di alto profilo. Il servizio Kaspersky Managed Detection and Response contribuisce a identificare e fermare gli attacchi nelle loro fasi iniziali, prima che gli attaccanti raggiungano i loro obiettivi.

    Kaspersky Microsoft Windows Nokoyawa
    Share. Facebook Twitter LinkedIn Reddit Telegram WhatsApp Email
    Redazione LineaEDP
    • Facebook
    • X (Twitter)

    LineaEDP è parte di BitMAT Edizioni, una casa editrice che ha sede a Milano con copertura a 360° per quanto riguarda la comunicazione rivolta agli specialisti dell'lnformation & Communication Technology.

    Correlati

    Cyber attacchi: l’Italia è maglia nera mondiale

    22/05/2025

    Attacchi informatici: Russia, UE e Asia nel mirino

    21/05/2025

    Sicurezza: AI sempre più sfidante

    21/05/2025
    Newsletter

    Iscriviti alla Newsletter per ricevere gli aggiornamenti dai portali di BitMAT Edizioni.

    Security Words

    INFRASTRUTTURA APPLICATIVA: PROTEGGIAMOLA

    29/01/2024

    PASSWORD E STRATEGIA

    29/01/2024
    BitMATv – I video di BitMAT
    Transizione 5.0: vuoi il 45% sui software?
    Stormshield: Zero Trust pilastro della security aziendale
    RENTRI: regole pratiche per uscirne vivi
    Vertiv: come evolve il mondo dei data center
    2VS1 incontra GCI: focus sulle competenze
    Defence Tech

    Cyber attacchi: l’Italia è maglia nera mondiale

    22/05/2025

    Attacchi informatici: Russia, UE e Asia nel mirino

    21/05/2025

    Sicurezza: AI sempre più sfidante

    21/05/2025

    Computer ICS sempre sotto minaccia cyber: l’analisi di Kaspersky

    20/05/2025
    Report

    Lo streaming dei dati abilita l’innovazione dei prodotti AI

    22/05/2025

    Aziende italiane e Intelligenza Artificiale: a che punto siamo?

    12/05/2025

    L’AI irrompe nel manufacturing

    02/05/2025

    L’AI è il futuro, ma senza dati rimane solo una promessa

    02/05/2025
    Rete BitMAT
    • Bitmat
    • BitMATv
    • Top Trade
    • LineaEdp
    • ItisMagazine
    • Speciale Sicurezza
    • Industry 4.0
    • Sanità Digitale
    • Redazione
    • Contattaci
    NAVIGAZIONE
    • Cio
    • Cloud
    • Mercato
    • News
    • Tecnologia
    • Case History
    • Report
    • Sicurezza
    • IOT
    Chi Siamo
    Chi Siamo

    BitMAT Edizioni è una casa editrice che ha sede a Milano con una copertura a 360° per quanto riguarda la comunicazione online ed offline rivolta agli specialisti dell'lnformation & Communication Technology.

    Facebook X (Twitter) Instagram Vimeo LinkedIn RSS
    • Contattaci
    • Cookies Policy
    • Privacy Policy
    • Redazione
    © 2012 - 2025 BitMAT Edizioni - P.Iva 09091900960 - tutti i diritti riservati - Iscrizione al tribunale di Milano n° 293 del 28-11-2018 - Testata giornalistica iscritta al ROC

    Type above and press Enter to search. Press Esc to cancel.