Vulnerabilitats de PaperCut pegats
PaperCut, una solució de programari de gestió d'impressió popular, s'ha enfrontat recentment a dues vulnerabilitats importants que les bandes de ransomware explotaven activament. Aquestes vulnerabilitats ara han estat pegats per l'empresa per eliminar els riscos potencials.
Taula de continguts
CVE-2023-27350: error d'execució de codi remot no autenticat
Aquesta vulnerabilitat té una puntuació CVSS v3.1 de 9,8, que indica un nivell de risc crític. El defecte d'execució de codi remot no autenticat va permetre als atacants executar codi arbitrari en sistemes vulnerables sense cap tipus d'autenticació, donant-los accés sense restriccions a dades sensibles i la capacitat de comprometre les xarxes. Afegir més preocupacions a la gravetat d'aquesta vulnerabilitat és el fet que es va publicar el codi de prova de concepte, proporcionant una pauta perquè més ciberdelinqüents explotin aquest defecte fàcilment.
CVE-2023-27351: defecte de divulgació d'informació no autenticada
La segona vulnerabilitat, CVE-2023-27351, té una puntuació CVSS v3.1 de 8,2, que es considera d'alt risc. Aquest defecte va permetre la divulgació d'informació no autenticada, el que significa que els atacants podien accedir a dades sensibles sense necessitat de credencials vàlides. L'explotació d'aquesta vulnerabilitat permetria als ciberdelinqüents obtenir informació valuosa i, potencialment, utilitzar-la per a atacs dirigits més precisos. Tot i que no és tan crítica com la fallada d'execució de codi remota, aquesta vulnerabilitat encara representava una amenaça considerable per a la seguretat i la privadesa dels usuaris.
Codi de prova de concepte publicat
El codi de prova de concepte (PoC) posat a disposició del públic va augmentar els riscos associats a aquestes vulnerabilitats. Aquest codi PoC va proporcionar un full de ruta perquè els atacants potencials explotin aquests defectes fins i tot sense un coneixement tècnic ampli. L'alliberament del codi PoC és una arma de doble tall; tot i que ajuda a difondre la consciència sobre defectes de seguretat i ajuda els investigadors de seguretat a desenvolupar pedaços, també proporciona als possibles atacants un model per dur a terme atacs. Els pedaços publicats per a aquestes vulnerabilitats són fonamentals per garantir la seguretat dels usuaris de PaperCut i les seves xarxes.
Actors maliciosos que exploten les vulnerabilitats de PaperCut
A mesura que es van conèixer les vulnerabilitats PaperCut, diverses bandes de ransomware ràpidament van començar a explotar-les activament. Entre aquests actors maliciosos es trobaven les soques de ransomware Lace Tempest i LockBit, ambdues dirigides a servidors PaperCut vulnerables per infiltrar-se a les xarxes i desplegar les seves càrregues útils de ransomware.
Lace Tempest (afiliat de Clop Ransomware) orientat a servidors vulnerables
Lace Tempest, una filial del conegut grup de ransomware Clop , va ser un dels primers actors maliciosos a explotar les vulnerabilitats PaperCut. Mitjançant l'execució de codi remot no autenticat i els errors de divulgació d'informació, Lace Tempest va aconseguir comprometre servidors vulnerables, obtenint accés sense restriccions a dades i xarxes sensibles. Un cop dins d'aquests sistemes compromesos, Lace Tempest va desplegar el ransomware Clop, xifrant fitxers i exigint rescats per alliberar les claus de desxifrat.
La soca de LockBit Ransomware també s'adreça als servidors PaperCut
LockBit , una altra soca de ransomware notòria, també ha estat explotant activament les vulnerabilitats del servidor PaperCut. De manera similar a l'estratègia de Lace Tempest, LockBit va aprofitar els errors d'execució de codi remot no autenticat i de divulgació d'informació per infiltrar-se en sistemes vulnerables. Amb accés a dades sensibles i xarxes internes, LockBit va desplegar la seva càrrega útil de ransomware, donant lloc a fitxers xifrats i demandes de rescat. La ràpida adopció d'aquestes vulnerabilitats per part d'actors maliciosos com LockBit i Lace Tempest posa de manifest la gravetat d'aquests defectes PaperCut i posa l'accent en la importància d'aplicar i actualitzar regularment el programari per protegir-se de les amenaces cibernètiques.
Tàctiques d'atac de Lace Tempest
Lace Tempest, l'afiliat del ransomware Clop, ha desenvolupat les seves tàctiques d'atac úniques per explotar les vulnerabilitats del servidor PaperCut de manera eficaç. Mitjançant l'ús de mètodes sofisticats com les ordres de PowerShell, les connexions del servidor de comandament i control i el Cobalt Strike Beacon, Lace Tempest s'ha infiltrat amb èxit en els sistemes i ha lliurat la seva càrrega útil de ransomware.
Ús d'ordres de PowerShell per lliurar TrueBot DLL
Els atacs de Lace Tempest sovint comencen amb l'execució d'ordres de PowerShell, que utilitzen per lliurar un fitxer DLL (Dynamic Link Library) TrueBot maliciós al sistema objectiu. Aquest fitxer DLL es carrega al sistema i serveix com a element bàsic per a més activitats malicioses, com ara establir connexions a servidors de comandament i control i baixar components de programari maliciós addicionals.
Es connecta a un servidor de comandaments i control
Una vegada que el TrueBot DLL està al seu lloc, el programari maliciós de Lace Tempest es connecta a un servidor d'ordres i control (C2). Aquesta connexió permet als atacants enviar ordres i rebre dades del sistema compromès, facilitant l'exfiltració de dades i permetent el desplegament de components o eines de programari maliciós addicionals, com ara el Cobalt Strike Beacon.
Utilitzant Cobalt Strike Beacon per al lliurament de ransomware
Lace Tempest utilitza sovint el Cobalt Strike Beacon com a part de la seva cadena d'atac. Cobalt Strike és una eina de proves de penetració legítima, que inclou un agent de post-explotació anomenat "Beacon". Malauradament, els cibercriminals com Lace Tempest han reutilitzat aquesta eina per als seus objectius maliciosos. En aquest cas, utilitzen el Cobalt Strike Beacon per lliurar el ransomware Clop als sistemes objectiu. Un cop desplegat el ransomware, xifra els fitxers del sistema i demana un rescat per a les claus de desxifrat, mantenint eficaçment com a ostatges les dades de les víctimes.
Canvi en les operacions de ransomware
Hi ha hagut un canvi notable en les operacions de les bandes de ransomware, com Clop, en els darrers anys. En lloc de confiar només en xifrar dades i exigir rescats per a les claus de desxifrat, els atacants ara prioritzen el robatori de dades sensibles amb finalitats d'extorsió. Aquest canvi de tàctiques ha fet que els ciberatacs siguin encara més amenaçadors, ja que els actors maliciosos ara poden aprofitar les dades robades per obligar les víctimes a pagar rescats, fins i tot si tenen estratègies de seguretat sòlides.
Centra't en robar dades per a l'extorsió
Les bandes de ransomware s'han adonat que robar dades amb finalitats d'extorsió pot donar resultats més lucratius que simplement confiar en el xifratge per mantenir les víctimes com a ostatges. Mitjançant l'exfiltració d'informació sensible, els atacants ara poden amenaçar amb publicar o vendre les dades robades a la web fosca, la qual cosa podria causar danys financers i reputacionals importants a les organitzacions. Aquesta pressió afegida augmenta la probabilitat que les víctimes paguin els rescats exigits.
Prioritzar el robatori de dades en els atacs
D'acord amb aquest canvi, les bandes de ransomware com Lace Tempest han començat a prioritzar el robatori de dades en els seus atacs. Mitjançant el desenvolupament de tàctiques d'atac sofisticades, com ara l'ús d'ordres de PowerShell, el TrueBot DLL i el Cobalt Strike Beacon, aquests actors maliciosos poden infiltrar-se en sistemes vulnerables i exfiltrar dades abans de xifrar-les, augmentant de manera efectiva les seves possibilitats d'extorsió.
Història de Clop Gang amb l'explotació de vulnerabilitats per a l'exfiltració de dades
La banda Clop té un historial d'explotació de vulnerabilitats amb finalitats d'exfiltració de dades. Per exemple, el 2020, els operaris de Clop van piratejar amb èxit Global Accellion i van robar dades d'aproximadament 100 empreses utilitzant vulnerabilitats revelades a l'aplicació File Transfer Appliance de l'empresa. Més recentment, la banda Clop va utilitzar vulnerabilitats de dia zero a la plataforma segura d'intercanvi de fitxers GoAnywhere MFT per robar dades de 130 empreses. Aquest patró d'explotació de vulnerabilitats per al robatori de dades, combinat amb el panorama de ransomware en constant evolució, posa de manifest la necessitat de les organitzacions d'adoptar mesures de seguretat sòlides i de mantenir un programari actualitzat per protegir els seus actius crítics.