Atacatorii cibernetici continuă să exploateze vulnerabilități din sistemele Microsoft Windows, iar recent a fost detectată o campanie semnificativă ce evidențiază evoluția grupărilor de tip ransomware. Un raport comun Kaspersky și BI.ZONE a relevat utilizarea malware-ului PipeMagic în atacurile ransomware RansomExx, folosind o breșă de securitate remediată în aprilie 2025 pentru infiltrarea sistemelor. Aceasta subliniază dificultatea în asigurarea unei protecții complete, chiar și în condițiile în care Microsoft lansează patch-uri de securitate.

Campania a exploatat vulnerabilitatea CVE-2025-29824, o problemă de escaladare a privilegiilor din Windows Common Log File System (CLFS). Deși Microsoft a publicat un patch, gruparea Storm-2460 a reușit să compromită organizații care nu s-au actualizat la timp. PipeMagic este un malware modular, capabil să utilizeze tehnici sofisticate pentru a rămâne neobservat. Un aspect distinctiv este comunicarea prin „named pipes” pentru transmiterea datelor criptate, ceea ce complică detectarea sa.

Sistemele compromise devin un mediu ideal pentru PipeMagic, care funcționează ca un backdoor complet. Acesta permite atacatorilor accesul de la distanță și executarea unor comenzi pe dispozitivele infectate. Printre modulele sale principale se numără:

– Un modul de comunicare asincronă pentru gestionarea fișierelor
– Un loader pentru injectarea și rularea payload-urilor suplimentare
– Un injector pentru executabile C#
– Un modul de rețea pentru comunicarea cu serverele de comandă și control (C2)

Particularitatea acestui malware constă în stocarea payload-urilor în memorie, ceea ce face detectarea prin soluții tradiționale mult mai dificilă. De asemenea, atacatorii folosesc instrumente precum ProcDump (modificate) pentru a extrage date sensibile din procesele de sistem, facilitând furtul de credențiale.

PipeMagic continuă să evolueze, fiind un framework flexibil și extensibil, capabil să ruleze coduri rău intenționate și să mențină o comunicare robustă cu serverele de comandă. Folosirea sa repetată în diverse ținti arată strategia continuă a grupării Storm-2460 de a maximiza profitul și de a testa metode noi de atac. Versiunile din 2025 au îmbunătățiri semnificative în ceea ce privește persistența în rețele interne și capacitatea de mișcare laterală.

Experții subliniază importanța aplicării la timp a actualizărilor și implementării soluțiilor de monitorizare avansate. În absența acestor măsuri, riscurile asociate cu atacurile cibernetice vor rămâne ridicate, iar organizațiile se pot expune la amenințări severe. Capacitatea de a contracara amenințările cibernetice depinde de informarea continuă și adaptarea rapidă la evoluțiile din acest domeniu.