GreyNoise avverte di un aumento significativo dell’attività di scansione sui sistemi Progress MOVEit Transfer
La società di threat intelligence GreyNoise ha segnalato un “aumento notevole” nell’attività di scansione che prende di mira i sistemi Progress MOVEit Transfer a partire dal 27 maggio 2025. Questo suggerisce che gli attaccanti potrebbero prepararsi per una nuova campagna di sfruttamento di massa o cercare sistemi non aggiornati.
MOVEit Transfer è una soluzione popolare per il trasferimento gestito di file, utilizzata da aziende e agenzie governative per condividere dati sensibili in modo sicuro. A causa della gestione di informazioni di alto valore, è diventato un obiettivo preferito per gli attaccanti.
Prima di questa data, l’attività di scansione era minima, con meno di 10 IP osservati al giorno. Tuttavia, il 27 maggio, il numero è salito a oltre 100 IP unici, seguito da 319 IP il 28 maggio. Da allora, il volume giornaliero di IP scanner è rimasto elevato, oscillando tra 200 e 300 IP al giorno, segnando una “deviazione significativa” dal comportamento usuale.
Negli ultimi 90 giorni, sono stati segnalati fino a 682 IP unici in connessione con questa attività, con 449 indirizzi IP osservati solo nelle ultime 24 ore. Di questi 449 IP, 344 sono stati classificati come sospetti e 77 come malevoli.
La maggior parte degli indirizzi IP si geolocalizza negli Stati Uniti, seguiti da Germania, Giappone, Singapore, Brasile, Paesi Bassi, Corea del Sud, Hong Kong e Indonesia.
GreyNoise ha anche rilevato tentativi di sfruttamento a basso volume per armare due vulnerabilità note di MOVEit Transfer (CVE-2023-34362 e CVE-2023-36934) il 12 giugno 2025. È importante notare che CVE-2023-34362 è stata sfruttata dagli attori del ransomware Cl0p come parte di una campagna diffusa nel 2023, che ha colpito oltre 2.770 organizzazioni.
Il picco nell’attività di scansione indica che le istanze di MOVEit Transfer sono nuovamente sotto il radar degli attori delle minacce, rendendo essenziale che gli utenti blocchino gli indirizzi IP offensivi, assicurino che il software sia aggiornato e evitino di esporli pubblicamente su Internet.
Fonte: The Hackers News
