Alcuni attaccanti stanno sfruttando attivamente una vulnerabilità 0-day di Oracle WebLogic recentemente scoperta per installare una variante del ransomware identificato come Sodinokibi. La vulnerabilità in questione è CVE-2019-2725, corretta lo scorso 26 aprile, sfruttabile da chiunque abbia accesso HTTP al server WebLogic per eseguire codice arbitrario. Da segnalare che le prime infezioni sono state rilevate il 25 aprile, vale a dire un giorno prima che la falla venisse ufficialmente risolta. A rendere particolarmente pericolosi gli attacchi concorrono sia il fatto che il download del ransomware avvenga automaticamente, senza bisogno di alcuna interazione dell’utente, sia l’estrema diffusione dell’apparecchiatura vulnerabile.
Dopo essere penetrata nel sistema target, la minaccia comincia a cifrare i dati presenti nelle directory della vittima e a cancellare i backup e le shadow copy per rendere più complesso il recupero dei file. Diversamente dal solito, l’estensione dei file criptati differisce per ogni sistema infetto.
Infine, è stato documentato un caso in cui, oltre a scaricare Sodinokibi, gli attaccanti hanno tentato un secondo sfruttamento della falla (circa 8 ore più tardi), il cui fine era quello di scaricare anche il noto ransomware Gandcrab v5.2.
