PaperCut-haavoittuvuudet korjattu

PaperCut, suosittu tulostushallintaohjelmistoratkaisu, kohtasi äskettäin kaksi merkittävää haavoittuvuutta, joita lunnasohjelmajoukot käyttivät aktiivisesti hyväkseen. Yhtiö on nyt korjannut nämä haavoittuvuudet mahdollisten riskien poistamiseksi.

CVE-2023-27350: Todentamaton koodin etäsuoritusvirhe

Tämän haavoittuvuuden CVSS v3.1 -pistemäärä on 9,8, mikä tarkoittaa kriittistä riskitasoa. Todentamattoman koodin etäsuoritusvirheen ansiosta hyökkääjät pystyivät suorittamaan mielivaltaista koodia haavoittuvissa järjestelmissä ilman minkäänlaista todennusta, mikä antoi heille rajoittamattoman pääsyn arkaluontoisiin tietoihin ja mahdollisuuden murtautua verkkoihin. Lisää huolenaiheita tämän haavoittuvuuden vakavuuteen on se, että konseptikoodin todistus julkaistiin, mikä tarjoaa ohjeet useammalle verkkorikolliselle, jotta he voivat helposti hyödyntää tätä puutetta.

CVE-2023-27351: Todentamattomien tietojen paljastamisvirhe

Toisen haavoittuvuuden, CVE-2023-27351, CVSS v3.1 -pistemäärä on 8,2, jota pidetään suurena riskinä. Tämä virhe mahdollisti todentamattoman tietojen paljastamisen, mikä tarkoittaa, että hyökkääjät saattoivat päästä käsiksi arkaluontoisiin tietoihin ilman kelvollisia valtuustietoja. Tämän haavoittuvuuden hyödyntäminen antaisi kyberrikollisille mahdollisuuden saada arvokasta tietoa ja mahdollisesti käyttää sitä tarkempiin kohdennettuihin hyökkäyksiin. Vaikka tämä haavoittuvuus ei ole niin kriittinen kuin koodin etäsuoritusvirhe, se aiheutti silti huomattavan uhan käyttäjien turvallisuudelle ja yksityisyydelle.

Proof of Concept -koodi julkaistu

Yleisön saataville asetettu proof of concept (PoC) -koodi lisäsi näihin haavoittuvuuksiin liittyviä riskejä. Tämä PoC-koodi tarjosi suunnitelman mahdollisille hyökkääjille, jotta he voivat hyödyntää näitä puutteita jopa ilman laajaa teknistä tietämystä. PoC-koodin vapauttaminen on kaksiteräinen miekka; Vaikka se auttaa levittämään tietoisuutta tietoturvapuutteista ja auttaa tietoturvatutkijoita kehittämään korjaustiedostoja, se tarjoaa myös mahdollisille hyökkääjille suunnitelman hyökkäysten tekemiseen. Näitä haavoittuvuuksia varten julkaistut korjaustiedostot ovat tärkeitä PaperCutin käyttäjien ja heidän verkkojensa turvallisuuden varmistamiseksi.

Haitalliset toimijat, jotka käyttävät hyväkseen PaperCutin haavoittuvuuksia

PaperCut-haavoittuvuuksien tullessa tunnetuksi useat kiristysohjelmajengit alkoivat nopeasti hyödyntää niitä aktiivisesti. Näiden haitallisten toimijoiden joukossa olivat Lace Tempest- ja LockBit ransomware -kannat, jotka molemmat kohdistuivat haavoittuviin PaperCut-palvelimiin soluttautumaan verkkoihin ja ottamaan käyttöön kiristysohjelmat.

Lace Tempest (Clop Ransomware Affiliate) kohdistuu haavoittuviin palvelimiin

Lace Tempest, tunnetun Clop ransomware -ryhmän tytäryhtiö, oli yksi ensimmäisistä haitallisista toimijoista, joka käytti hyväkseen PaperCut-haavoittuvuuksia. Käyttämällä todentamattoman etäkoodin suorittamisen ja tietojen paljastamisen puutteita Lace Tempest onnistui vaarantamaan haavoittuvat palvelimet ja saamaan rajoittamattoman pääsyn arkaluontoisiin tietoihin ja verkkoihin. Näiden vaarantuneiden järjestelmien sisällä Lace Tempest otti käyttöön Clop ransomwaren, salasi tiedostoja ja vaati lunnaita vapauttaakseen salauksenpurkuavaimet.

LockBit Ransomware Strain kohdistuu myös PaperCut-palvelimiin

LockBit , toinen pahamaineinen lunnasohjelmakanta, on myös käyttänyt aktiivisesti PaperCut-palvelimen haavoittuvuuksia. Lace Tempestin strategian tapaan LockBit käytti hyväkseen todentamatonta etäkoodin suoritusta ja tietojen paljastamisvirheitä soluttautuakseen haavoittuviin järjestelmiin. Päästyäkseen arkaluontoisiin tietoihin ja sisäisiin verkkoihin LockBit otti käyttöön kiristysohjelmiensa hyötykuorman, mikä johti salattuihin tiedostoihin ja lunnaisiin. Haitallisten toimijoiden, kuten LockBitin ja Lace Tempestin, nopea omaksuminen haavoittuvuuksilla korostaa näiden PaperCut-puutteiden vakavuutta ja korostaa ohjelmistojen säännöllisen korjauksen ja päivityksen tärkeyttä kyberuhkilta suojaamiseksi.

Lace Tempest Attack Tactics

Lace Tempest, Clop ransomware -tytäryhtiö, on kehittänyt ainutlaatuisen hyökkäystaktiikkansa PaperCut-palvelimen haavoittuvuuksien tehokkaaseen hyödyntämiseen. Käyttämällä kehittyneitä menetelmiä, kuten PowerShell-komentoja, komento- ja ohjauspalvelinyhteyksiä ja Cobalt Strike Beaconia, Lace Tempest on onnistuneesti tunkeutunut järjestelmiin ja toimittanut kiristyshaittaohjelmansa.

PowerShell-komentojen käyttäminen TrueBot DLL:n toimittamiseen

Lace Tempestin hyökkäykset alkavat usein suorittamalla PowerShell-komentoja, joita ne käyttävät haitallisen TrueBot DLL (Dynamic Link Library) -tiedoston toimittamiseen kohdejärjestelmään. Tämä DLL-tiedosto ladataan sitten järjestelmään, ja se toimii rakennuspalikkana muille haitallisille toimille, kuten yhteyksien luomiseen komento- ja ohjauspalvelimiin ja lisähaittaohjelmakomponenttien lataamiseen.

Yhdistetään komento- ja ohjauspalvelimeen

Kun TrueBot DLL on paikallaan, Lace Tempestin haittaohjelma muodostaa yhteyden komento- ja ohjauspalvelimeen (C2). Tämän yhteyden avulla hyökkääjät voivat lähettää komentoja ja vastaanottaa tietoja vaarantuneesta järjestelmästä, mikä helpottaa tietojen suodattamista ja mahdollistaa lisähaittaohjelmakomponenttien tai -työkalujen, kuten Cobalt Strike Beaconin, käyttöönoton.

Cobalt Strike Beaconin käyttäminen Ransomware-toimitukseen

Lace Tempest käyttää usein Cobalt Strike Beaconia osana hyökkäysketjuaan. Cobalt Strike on laillinen tunkeutumistestaustyökalu, joka sisältää hyväksikäytön jälkeisen agentin nimeltä "Beacon". Valitettavasti kyberrikolliset, kuten Lace Tempest, ovat käyttäneet tätä työkalua uudelleen haitallisiin tarkoituksiinsa. Tässä tapauksessa he käyttävät Cobalt Strike Beaconia toimittamaan Clop-lunnasohjelmat kohdejärjestelmiin. Kun kiristysohjelma on otettu käyttöön, se salaa järjestelmän tiedostot ja vaatii lunnaita salauksen purkuavaimista, mikä pitää uhrien tiedot tehokkaasti panttivankina.

Vaihto Ransomware-toiminnoissa

Clopin kaltaisten ransomware-jengien toiminnassa on tapahtunut huomattava muutos viime vuosina. Sen sijaan, että luottaisivat pelkästään tietojen salaamiseen ja vaatisivat lunnaita salauksen purkuavaimista, hyökkääjät antavat nyt etusijalle arkaluonteisten tietojen varastamisen kiristystarkoituksiin. Tämä taktiikkojen muutos on tehnyt kyberhyökkäykset entistä uhkaavammiksi, sillä pahantahtoiset toimijat voivat nyt hyödyntää varastettuja tietoja pakottaakseen uhrit maksamaan lunnaita, vaikka heillä olisikin hyvät varastrategiat käytössä.

Keskity tietojen varastamiseen kiristystä varten

Ransomware-jengit ovat ymmärtäneet, että tietojen varastaminen kiristystarkoituksiin voi tuottaa tuottoisampia tuloksia kuin pelkkä salauksen luottaminen uhrien panttivangiksi. Suodattamalla arkaluonteisia tietoja hyökkääjät voivat nyt uhata julkaista tai myydä varastetut tiedot pimeässä verkossa, mikä voi aiheuttaa merkittäviä taloudellisia ja mainevaurioita organisaatioille. Tämä lisätty paine lisää todennäköisyyttä, että uhrit maksavat vaaditut lunnaat.

Tietovarkauksien asettaminen etusijalle hyökkäyksissä

Tämän muutoksen mukaisesti ransomware-jengit, kuten Lace Tempest, ovat alkaneet priorisoida tietovarkauksia hyökkäyksissään. Kehittämällä kehittyneitä hyökkäystaktiikoita, kuten käyttämällä PowerShell-komentoja, TrueBot DLL:ää ja Cobalt Strike Beaconia, nämä pahantahtoiset toimijat pystyvät tunkeutumaan haavoittuviin järjestelmiin ja suodattamaan tietoja ennen niiden salaamista, mikä lisää tehokkaasti heidän mahdollisuuksiaan onnistuneeseen kiristykseen.

Clop Gangin historia hyödyntämällä haavoittuvuuksia tietojen suodattamiseen

Clop-jengi on hyödyntänyt haavoittuvuuksia tietojen suodatustarkoituksiin. Esimerkiksi vuonna 2020 Clopin työntekijät hakkeroivat menestyksekkäästi Global Accellioniin ja varastivat tietoja noin 100 yrityksestä käyttämällä yrityksen File Transfer Appliance -sovelluksen julkistettuja haavoittuvuuksia. Viime aikoina Clop-jengi käytti GoAnywhere MFT:n suojatun tiedostonjakoalustan nollapäivän haavoittuvuuksia varastaakseen tietoja 130 yrityksestä. Tämä tietovarkauksien haavoittuvuuksien hyödyntämismalli yhdistettynä jatkuvasti kehittyvään kiristysohjelmamaailmaan korostaa organisaatioiden tarvetta ottaa käyttöön vankat suojaustoimenpiteet ja ylläpitää ajan tasalla olevaa ohjelmistoa kriittisen omaisuutensa suojaamiseksi.