Opravena zranitelnost PaperCut
PaperCut, oblíbené softwarové řešení pro správu tisku, nedávno čelilo dvěma významným zranitelnostem, které gangy ransomwaru aktivně zneužívaly. Tato zranitelnost byla nyní společností opravena, aby eliminovala potenciální rizika.
Obsah
CVE-2023-27350: Chyba při neověřeném vzdáleném spuštění kódu
Tato chyba zabezpečení má skóre CVSS v3.1 9,8, což znamená kritickou úroveň rizika. Chyba při neověřeném vzdáleném spuštění kódu umožnila útočníkům spouštět libovolný kód na zranitelných systémech bez jakéhokoli typu autentizace, což jim poskytlo neomezený přístup k citlivým datům a možnost kompromitovat sítě. Další obavy o závažnost této zranitelnosti přidává skutečnost, že byl zveřejněn kód proof of concept, který poskytuje vodítko pro další kyberzločince, jak tuto chybu snadno zneužít.
CVE-2023-27351: Chyba zpřístupnění neověřených informací
Druhá chyba zabezpečení, CVE-2023-27351, má skóre CVSS v3.1 8,2, což je považováno za vysoce rizikové. Tato chyba umožnila neověřené informace, což znamená, že útočníci mohli získat přístup k citlivým datům, aniž by potřebovali platné přihlašovací údaje. Využití této zranitelnosti by umožnilo kyberzločincům získat cenné informace a potenciálně je využít k přesnějším cíleným útokům. I když tato chyba zabezpečení není tak kritická jako chyba vzdáleného spuštění kódu, stále představovala značnou hrozbu pro bezpečnost a soukromí uživatelů.
Vydán kód Proof of Concept Code
Kód proof of concept (PoC) zpřístupněný veřejnosti zvýšil rizika spojená s těmito zranitelnostmi. Tento kód PoC poskytl potenciálním útočníkům plán, jak tyto chyby využít i bez rozsáhlých technických znalostí. Uvolnění PoC kódu je dvousečná zbraň; i když pomáhá šířit povědomí o bezpečnostních nedostatcích a pomáhá bezpečnostním výzkumníkům vyvíjet záplaty, poskytuje také potenciálním útočníkům plán k provádění útoků. Opravy vydané pro tyto chyby zabezpečení jsou zásadní pro zajištění bezpečnosti uživatelů PaperCut a jejich sítí.
Zlomyslní herci využívající zranitelnosti PaperCut
Jak se zranitelnosti PaperCut staly známé, různé ransomwarové gangy je rychle začaly aktivně využívat. Mezi těmito zákeřnými aktéry byly kmeny ransomwaru Lace Tempest a LockBit, které se zaměřovaly na zranitelné servery PaperCut, aby pronikly do sítí a nasadily svůj ransomware.
Lace Tempest (Clop Ransomware affiliate) zaměřený na zranitelné servery
Lace Tempest, přidružená společnost známé skupiny Clop ransomware , byla jedním z prvních zlomyslných aktérů, kteří zneužili zranitelnosti PaperCut. Použitím neověřeného vzdáleného spouštění kódu a nedostatků v odhalování informací se Lace Tempest podařilo kompromitovat zranitelné servery a získat neomezený přístup k citlivým datům a sítím. Jakmile se Lace Tempest ocitl v těchto kompromitovaných systémech, nasadil Clop ransomware, šifroval soubory a požadoval výkupné za uvolnění dešifrovacích klíčů.
LockBit Ransomware kmen se také zaměřuje na servery PaperCut
LockBit , další notoricky známý kmen ransomwaru, také aktivně využívá zranitelnosti serveru PaperCut. Podobně jako u strategie Lace Tempest, LockBit zneužil neověřené vzdálené spouštění kódu a chyby v odhalování informací k infiltraci zranitelných systémů. Díky přístupu k citlivým datům a interním sítím LockBit nasadil svůj ransomware, což vedlo k zašifrovaným souborům a požadavkům na výkupné. Rychlé přijetí těchto zranitelností zákeřnými aktéry, jako jsou LockBit a Lace Tempest, zdůrazňuje závažnost těchto nedostatků PaperCut a zdůrazňuje důležitost pravidelné opravy a aktualizace softwaru pro ochranu před kybernetickými hrozbami.
Taktika útoku na krajkovou bouři
Lace Tempest, pobočka ransomwaru Clop, vyvinula svou jedinečnou taktiku útoku, aby efektivně využila zranitelnosti serveru PaperCut. Využitím sofistikovaných metod, jako jsou příkazy PowerShell, připojení k příkazovému a řídicímu serveru a Cobalt Strike Beacon, se Lace Tempest úspěšně infiltroval do systémů a dodal svůj ransomware.
Použití příkazů PowerShell k dodání TrueBot DLL
Útoky Lace Tempest často začínají prováděním příkazů PowerShell, které používají k doručení škodlivého souboru TrueBot DLL (Dynamic Link Library) do cílového systému. Tento soubor DLL je poté načten do systému a slouží jako stavební blok pro další škodlivé činnosti, jako je navazování spojení s příkazovými a řídicími servery a stahování dalších součástí malwaru.
Připojuje se k příkazovému a řídicímu serveru
Jakmile je DLL TrueBot na svém místě, malware Lace Tempest se připojí k serveru příkazů a řízení (C2). Toto připojení umožňuje útočníkům odesílat příkazy a přijímat data z napadeného systému, což usnadňuje exfiltraci dat a umožňuje nasazení dalších malwarových komponent nebo nástrojů, jako je Cobalt Strike Beacon.
Využití Cobalt Strike Beacon pro doručování ransomwaru
Lace Tempest často používá Cobalt Strike Beacon jako součást svého útočného řetězce. Cobalt Strike je legitimní nástroj pro testování penetrace, který zahrnuje agenta po exploataci zvaného „Beacon“. Kyberzločinci jako Lace Tempest bohužel tento nástroj znovu použili pro své škodlivé cíle. V tomto případě používají Cobalt Strike Beacon k doručení Clop ransomwaru do cílových systémů. Jakmile je ransomware nasazen, zašifruje soubory v systému a požaduje výkupné za dešifrovací klíče, čímž efektivně drží data obětí jako rukojmí.
Posun v operacích Ransomware
V operacích ransomwarových gangů, jako je Clop, došlo v posledních letech k znatelnému posunu. Místo toho, aby se útočníci spoléhali pouze na šifrování dat a požadovali výkupné za dešifrovací klíče, nyní upřednostňují krádež citlivých dat pro účely vydírání. Tato změna v taktice učinila kybernetické útoky ještě hrozivějšími, protože zlomyslní aktéři nyní mohou využít odcizená data k donucení obětí k zaplacení výkupného, i když mají zavedeny spolehlivé strategie zálohování.
Zaměřte se na krádež dat pro vydírání
Ransomwarové gangy si uvědomily, že krádež dat pro účely vydírání může přinést lukrativnější výsledky než pouhé spoléhání se na šifrování, které drží oběti jako rukojmí. Exfiltrací citlivých informací mohou nyní útočníci hrozit zveřejněním nebo prodejem ukradených dat na temném webu, což může organizacím způsobit značné finanční škody a poškození pověsti. Tento zvýšený tlak zvyšuje pravděpodobnost, že oběti zaplatí požadované výkupné.
Upřednostňování krádeží dat při útocích
V souladu s tímto posunem začaly ransomwarové gangy jako Lace Tempest při svých útocích upřednostňovat krádeže dat. Díky vývoji sofistikovaných útočných taktik, jako je použití příkazů PowerShell, DLL TrueBot a Cobalt Strike Beacon, jsou tito zákeřní aktéři schopni infiltrovat zranitelné systémy a exfiltrovat data před jejich zašifrováním, čímž účinně zvyšují své šance na úspěšné vydírání.
Obklopte historii gangu pomocí zneužívání zranitelností pro exfiltraci dat
Gang Clop má za sebou historii využívání zranitelností pro účely exfiltrace dat. Například v roce 2020 pracovníci společnosti Clop úspěšně hackli Global Accellion a ukradli data od přibližně 100 společností pomocí odhalených zranitelností ve firemní aplikaci File Transfer Appliance. Nedávno gang Clop využil zranitelnosti nultého dne v zabezpečené platformě pro sdílení souborů GoAnywhere MFT ke krádeži dat od 130 společností. Tento model využívání zranitelných míst pro krádeže dat v kombinaci s neustále se vyvíjejícím prostředím ransomwaru zdůrazňuje potřebu organizací přijmout robustní bezpečnostní opatření a udržovat aktuální software k ochraně svých kritických aktiv.