PaperCut sårbarheder rettet
PaperCut, en populær printstyringssoftwareløsning, stod for nylig over for to væsentlige sårbarheder, som ransomware-bander aktivt udnyttede. Disse sårbarheder er nu blevet rettet af virksomheden for at eliminere potentielle risici.
Indholdsfortegnelse
CVE-2023-27350: Uautoriseret fjernudførelsesfejl
Denne sårbarhed har en CVSS v3.1-score på 9,8, hvilket indikerer et kritisk risikoniveau. Den uautentificerede fjernudførelsesfejl tillod angribere at eksekvere vilkårlig kode på sårbare systemer uden nogen form for godkendelse, hvilket gav dem ubegrænset adgang til følsomme data og muligheden for at kompromittere netværk. Yderligere bekymringer til sværhedsgraden af denne sårbarhed er det faktum, at proof of concept-kode blev udgivet, hvilket giver en retningslinje for, at flere cyberkriminelle let kan udnytte denne fejl.
CVE-2023-27351: Fejl ved offentliggørelse af uautoriseret information
Den anden sårbarhed, CVE-2023-27351, har en CVSS v3.1-score på 8,2, hvilket anses for høj risiko. Denne fejl tillod uautoriseret afsløring af oplysninger, hvilket betyder, at angribere kunne få adgang til følsomme data uden at have brug for gyldige legitimationsoplysninger. Udnyttelse af denne sårbarhed vil gøre det muligt for cyberkriminelle at få værdifuld information og potentielt bruge den til mere præcise målrettede angreb. Selvom det ikke er så kritisk som fejlen ved fjernudførelse af kode, udgjorde denne sårbarhed stadig en betydelig trussel mod brugernes sikkerhed og privatliv.
Proof of Concept-kode frigivet
proof of concept-koden (PoC) gjort tilgængelig for offentligheden øgede risiciene forbundet med disse sårbarheder. Denne PoC-kode gav en køreplan for potentielle angribere til at udnytte disse fejl, selv uden omfattende teknisk viden. Frigivelse af PoC-kode er et tveægget sværd; mens det hjælper med at sprede bevidsthed om sikkerhedsbrister og hjælper sikkerhedsforskere med at udvikle patches, giver det også potentielle angribere en plan til at udføre angreb. De patches, der frigives til disse sårbarheder, er afgørende for at sikre sikkerheden for PaperCut-brugere og deres netværk.
Ondsindede aktører, der udnytter PaperCut-sårbarheder
Da PaperCut-sårbarhederne blev kendt, begyndte forskellige ransomware- bander hurtigt at udnytte dem aktivt. Blandt disse ondsindede aktører var Lace Tempest og LockBit ransomware-stammer, der begge var rettet mod sårbare PaperCut-servere for at infiltrere netværk og implementere deres ransomware-nyttelast.
Lace Tempest (Clop Ransomware Affiliate) rettet mod sårbare servere
Lace Tempest, en affiliate af den velkendte Clop ransomware- gruppe, var en af de første ondsindede aktører, der udnyttede PaperCut-sårbarhederne. Ved at bruge den uautentificerede fjernudførelse af kode og fejl i afsløringen af oplysninger lykkedes det Lace Tempest at kompromittere sårbare servere og få ubegrænset adgang til følsomme data og netværk. Da Lace Tempest først var inde i disse kompromitterede systemer, implementerede Clop ransomware, krypterede filer og krævede løsesum for at frigive dekrypteringsnøglerne.
LockBit Ransomware-stamme retter sig også mod PaperCut-servere
LockBit , en anden berygtet ransomware-stamme, har også aktivt udnyttet PaperCut-serversårbarheder. I lighed med Lace Tempests strategi udnyttede LockBit den uautentificerede fjernudførelse af kode og fejl i afsløring af information til at infiltrere sårbare systemer. Med adgang til følsomme data og interne netværk implementerede LockBit sin ransomware-nyttelast, hvilket førte til krypterede filer og krav om løsesum. Den hurtige overtagelse af disse sårbarheder af ondsindede aktører som LockBit og Lace Tempest fremhæver alvoren af disse PaperCut-fejl og understreger vigtigheden af regelmæssigt at patche og opdatere software for at beskytte mod cybertrusler.
Lace Tempest Attack Taktics
Lace Tempest, Clop ransomware affiliate, har udviklet sin unikke angrebstaktik for at udnytte PaperCut-serversårbarheder effektivt. Ved at anvende sofistikerede metoder såsom PowerShell-kommandoer, kommando- og kontrolserverforbindelser og Cobalt Strike Beacon har Lace Tempest med succes infiltreret systemer og leveret sin ransomware-nyttelast.
Brug af PowerShell-kommandoer til at levere TrueBot DLL
Lace Tempests angreb begynder ofte med udførelse af PowerShell-kommandoer, som de bruger til at levere en ondsindet TrueBot DLL-fil (Dynamic Link Library) til det målrettede system. Denne DLL-fil indlæses derefter på systemet og fungerer som en byggesten til yderligere ondsindede aktiviteter, såsom etablering af forbindelser til kommando- og kontrolservere og download af yderligere malware-komponenter.
Opretter forbindelse til en kommando- og kontrolserver
Når TrueBot DLL'en er på plads, forbindes Lace Tempests malware til en kommando- og kontrolserver (C2). Denne forbindelse gør det muligt for angriberne at sende kommandoer og modtage data fra det kompromitterede system, hvilket letter dataeksfiltrering og muliggør implementering af yderligere malware-komponenter eller værktøjer, såsom Cobalt Strike Beacon.
Brug af Cobalt Strike Beacon til ransomware-levering
Lace Tempest bruger ofte Cobalt Strike Beacon som en del af sin angrebskæde. Cobalt Strike er et legitimt penetrationstestværktøj, som inkluderer en post-udnyttelsesagent kaldet "Beacon". Desværre har cyberkriminelle som Lace Tempest genbrugt dette værktøj til deres ondsindede formål. I dette tilfælde bruger de Cobalt Strike Beacon til at levere Clop ransomware til de målrettede systemer. Når ransomwaren er installeret, krypterer den filer på systemet og kræver løsesum for dekrypteringsnøgler, hvilket effektivt holder ofrenes data som gidsler.
Skift i Ransomware Operations
Der har været et mærkbart skift i driften af ransomware-bander, såsom Clop, i de seneste år. I stedet for udelukkende at stole på kryptering af data og kræve løsesum for dekrypteringsnøgler, prioriterer angribere nu at stjæle følsomme data til afpresningsformål. Denne ændring i taktik har gjort cyberangreb endnu mere truende, da ondsindede aktører nu kan udnytte de stjålne data til at tvinge ofre til at betale løsesum, selvom de har sunde backup-strategier på plads.
Fokus på at stjæle data til afpresning
Ransomware-bander har indset, at at stjæle data til afpresningsformål kan give mere lukrative resultater end blot at stole på kryptering for at holde ofrene som gidsler. Ved at eksfiltrere følsom information kan angribere nu true med at offentliggøre eller sælge de stjålne data på det mørke web, hvilket potentielt kan forårsage betydelig økonomisk og omdømmeskade for organisationer. Dette ekstra pres øger sandsynligheden for, at ofrene betaler de krævede løsesummer.
Prioritering af datatyveri i angreb
I tråd med dette skift er ransomware-bander som Lace Tempest begyndt at prioritere datatyveri i deres angreb. Ved at udvikle sofistikerede angrebstaktikker, såsom brug af PowerShell-kommandoer, TrueBot DLL'en og Cobalt Strike Beacon, er disse ondsindede aktører i stand til at infiltrere sårbare systemer og eksfiltrere data, før de krypterer dem, hvilket effektivt øger deres chancer for en vellykket afpresning.
Clop Gangs historie med udnyttelse af sårbarheder til dataeksfiltrering
Clop-banden har en historie med at udnytte sårbarheder til dataeksfiltreringsformål. For eksempel, i 2020, hackede Clop-operatører med succes Global Accellion og stjal data fra cirka 100 virksomheder ved at bruge afslørede sårbarheder i virksomhedens File Transfer Appliance-applikation. For nylig brugte Clop-banden nul-dages sårbarheder i GoAnywhere MFTs sikre fildelingsplatform til at stjæle data fra 130 virksomheder. Dette mønster af udnyttelse af sårbarheder til datatyveri, kombineret med det stadigt udviklende ransomware-landskab, fremhæver behovet for, at organisationer vedtager robuste sikkerhedsforanstaltninger og vedligeholder opdateret software for at beskytte deres kritiske aktiver.