• BitMAT
  • BitMATv
  • Top Trade
  • Linea EDP
  • Itis Magazine
  • Industry 5.0
  • Sanità Digitale
  • ReStart in Green
  • Contattaci
Close Menu
LineaEDPLineaEDP
    Facebook X (Twitter) Vimeo Instagram LinkedIn RSS
    Trending
    • Violazioni dati: le aziende non hanno controlli di accesso AI adeguati
    • “Allucinazioni” dell’AI sfruttate per colpire le supply chain
    • Proedil sceglie Metriks AI: tecnologia e dati al centro della partnership
    • Sicurezza: l’AI trasforma le telecamere in sentinelle predittive
    • Trend Micro e Google Cloud ancora insieme per la sicurezza enterprise
    • Conoscenza aziendale: tutto cambia con l’Intelligenza Artificiale
    • Almawave integra Velvet con IBM watsonx
    • Investimenti tecnologici: guida strategica per conquistare i CdA
    Facebook X (Twitter) Vimeo Instagram LinkedIn RSS
    LineaEDPLineaEDP
    • Cio
    • Cloud
    • Mercato
    • News
    • Tecnologia
    • Case History
    • Report
    • Sicurezza
    • IOT
    LineaEDPLineaEDP
    Sei qui:Home»Rubriche»Sicurezza»Nokoyawa: zero-day di Microsoft Windows usato negli attacchi

    Nokoyawa: zero-day di Microsoft Windows usato negli attacchi

    By Redazione LineaEDP13/04/20234 Mins Read
    Facebook Twitter LinkedIn Reddit Telegram WhatsApp Email

    Un gruppo di criminali informatici ha utilizzato un exploit sviluppato per diverse versioni e build del sistema operativo Windows, tra cui Windows 11, e ha tentato di distribuire il ransomware Nokoyawa

    Darkside ransomware - Nokoyawa- Ranflood

    A febbraio, gli esperti di Kaspersky hanno scoperto un attacco che utilizzava una vulnerabilità zero-day nel Common Log File System (CLFS) di Microsoft. Un gruppo di criminali informatici ha utilizzato un exploit sviluppato per diverse versioni e build del sistema operativo Windows, tra cui Windows 11, e ha tentato di distribuire il ransomware Nokoyawa. Microsoft ha assegnato la CVE-2023-28252 a questa vulnerabilità e l’ha corretta ieri nell’ambito del Patch Tuesday. L’attore delle minacce ha anche cercato di eseguire exploit simili di escalation dei privilegi in attacchi a diverse piccole e medie imprese in Medio Oriente e Nord America, e in precedenza nelle regioni asiatiche.

    Mentre la maggior parte delle vulnerabilità scoperte da Kaspersky è utilizzata dalle APT, questa è invece sfruttata per scopi criminali da un gruppo specializzato che effettua attacchi ransomware e si distingue per l’utilizzo di exploit simili ma unici del Common Log File System (CLFS). Kaspersky ha visto almeno cinque diversi exploit di questo tipo: sono stati utilizzati in attacchi a diversi settori, tra cui vendita al dettaglio e all’ingrosso, energia, produzione, sanità, sviluppo di software.

    Microsoft ha assegnato la CVE-2023-28252 allo zero-day scoperto. Si tratta della vulnerabilità di escalation dei privilegi del Common Log File Ststem, che viene attivata dalla modifica del formato dei file utilizzati da questo sottosistema. I ricercatori di Kaspersky hanno scoperto la vulnerabilità a febbraio, a seguito di ulteriori controlli su una serie di tentativi di esecuzione di exploit simili di escalatioin dei privilegi su server Microsoft Windows appartenenti a diverse piccole e medie imprese nelle regioni del Medio Oriente e del Nord America.

    CVE-2023-28252 è stata individuata per la prima volta da Kaspersky in un attacco in cui i criminali informatici hanno provato a distribuire una versione più recente del ransomware Nokoyawa. Le vecchie versioni di questo ransomware erano solo varianti “ribrandizzate” del ransomware JSWorm, ma nell’attacco descritto, la variante Nokoyawa era ben distinta da JSWorm dal punto di vista della codifica.

    Richiesta di riscatto Nokoyawa

    L’exploit utilizzato nell’attacco è stato sviluppato per supportare diverse versioni e build del sistema operativo Windows, tra cui Windows 11. Gli attaccanti hanno utilizzato la vulnerabilità CVE-2023-28252 per effettuare l’eascalation dei privilegi e rubare le credenziali dal database Security Account Manager (SAM).

    “I gruppi di criminali informatici stanno diventando sempre più sofisticati nell’utilizzare gli exploit zero-day nei loro attacchi. In precedenza si trattava principalmente di uno strumento utilizzato dagli autori delle Advanced Persistent Threat (APT), ma ora i criminali informatici hanno le risorse per acquisire gli zero-day e utilizzarli abitualmente negli attacchi. Ci sono anche sviluppatori di exploit disposti ad aiutarli e a sviluppare exploit su exploit. È molto importante che le aziende scarichino l’ultima patch Microsoft il prima possibile e utilizzino altri metodi di protezione, come le soluzioni EDR”, ha commentato Boris Larin, Lead Security Researcher del Global Research and Analysis Team (GReAT) di Kaspersky.

    I prodotti Kaspersky rilevano e proteggono dallo sfruttamento di questa vulnerabilità e dal relativo malware. Ulteriori informazioni su questo nuovo zero-day sono disponibili su Securelist. Ulteriori dettagli saranno condivisi nove giorni dopo il Patch Tuesday di aprile, in modo che le aziende abbiano tempo sufficiente per applicare le patch ai loro sistemi.

    Per proteggere l’azienda da attacchi che sfruttano questa vulnerabilità, come Nokoyawa, gli esperti di Kaspersky consigliano di:

    · Aggiornare il prima possibile e regolarmente Microsoft Windows.

    · Utilizzare una soluzione affidabile per la sicurezza degli endpoint, come Kaspersky Endpoint Security for Business, con funzioni di prevenzione degli exploit, rilevamento dei comportamenti e un motore di remediation in grado di annullare le azioni dannose.

    · Installare soluzioni anti-APT e EDR, che consentano di individuare e rilevare le minacce, indagare e risolvere tempestivamente gli incidenti. Fornire al team SOC l’accesso alle informazioni più recenti sulle minacce e aggiornarlo regolarmente con una formazione professionale. Tutto questo è disponibile all’interno del framework Kaspersky Expert Security.

    · Oltre a un’adeguata protezione degli endpoint, i servizi dedicati possono aiutare a contrastare gli attacchi di alto profilo. Il servizio Kaspersky Managed Detection and Response contribuisce a identificare e fermare gli attacchi nelle loro fasi iniziali, prima che gli attaccanti raggiungano i loro obiettivi.

    Kaspersky Microsoft Windows Nokoyawa
    Share. Facebook Twitter LinkedIn Reddit Telegram WhatsApp Email
    Redazione LineaEDP
    • Facebook
    • X (Twitter)

    LineaEDP è parte di BitMAT Edizioni, una casa editrice che ha sede a Milano con copertura a 360° per quanto riguarda la comunicazione rivolta agli specialisti dell'lnformation & Communication Technology.

    Correlati

    Violazioni dati: le aziende non hanno controlli di accesso AI adeguati

    31/07/2025

    “Allucinazioni” dell’AI sfruttate per colpire le supply chain

    30/07/2025

    Sicurezza: l’AI trasforma le telecamere in sentinelle predittive

    30/07/2025
    Newsletter

    Iscriviti alla Newsletter per ricevere gli aggiornamenti dai portali di BitMAT Edizioni.

    Security Words

    INFRASTRUTTURA APPLICATIVA: PROTEGGIAMOLA

    29/01/2024

    PASSWORD E STRATEGIA

    29/01/2024
    BitMATv – I video di BitMAT
    ExpertBook P5, il notebook con l’AI integrata
    La tua fabbrica è resiliente?
    Legrand Data Center al Data Center Nation per parlare del data center del futuro!
    Snom: focus su tecnologia e partner
    Cumulabilità Transizione 5.0 e ZES: i vantaggi del Litio
    Defence Tech

    Violazioni dati: le aziende non hanno controlli di accesso AI adeguati

    31/07/2025

    “Allucinazioni” dell’AI sfruttate per colpire le supply chain

    30/07/2025

    Sicurezza: l’AI trasforma le telecamere in sentinelle predittive

    30/07/2025

    Trend Micro e Google Cloud ancora insieme per la sicurezza enterprise

    30/07/2025
    Report

    La GenAI spinge l’adozione dell’AI agentica

    25/07/2025

    Software B2B: da Simon-Kucher l’analisi del settore

    24/07/2025

    Intelligenza Artificiale: cosa ne pensano oggi gli italiani?

    17/07/2025

    GenAI: 68% dei lavoratori italiani la usa, ma il 36% teme di essere sostituito

    16/07/2025
    Rete BitMAT
    • Bitmat
    • BitMATv
    • Top Trade
    • LineaEdp
    • ItisMagazine
    • Speciale Sicurezza
    • Industry 4.0
    • Sanità Digitale
    • Redazione
    • Contattaci
    NAVIGAZIONE
    • Cio
    • Cloud
    • Mercato
    • News
    • Tecnologia
    • Case History
    • Report
    • Sicurezza
    • IOT
    Chi Siamo
    Chi Siamo

    BitMAT Edizioni è una casa editrice che ha sede a Milano con una copertura a 360° per quanto riguarda la comunicazione online ed offline rivolta agli specialisti dell'lnformation & Communication Technology.

    Facebook X (Twitter) Instagram Vimeo LinkedIn RSS
    • Contattaci
    • Cookies Policy
    • Privacy Policy
    • Redazione
    © 2012 - 2025 BitMAT Edizioni - P.Iva 09091900960 - tutti i diritti riservati - Iscrizione al tribunale di Milano n° 293 del 28-11-2018 - Testata giornalistica iscritta al ROC

    Type above and press Enter to search. Press Esc to cancel.