פגיעויות PaperCut תוקנה
PaperCut, פתרון תוכנה פופולרי לניהול הדפסה, התמודד לאחרונה עם שתי נקודות תורפה משמעותיות שכנופיות תוכנות כופר ניצלו באופן פעיל. פגיעויות אלה תוקנה כעת על ידי החברה כדי למנוע סיכונים פוטנציאליים.
תוכן העניינים
CVE-2023-27350: פגם בביצוע קוד מרחוק לא מאומת
לפגיעות זו יש ציון CVSS v3.1 של 9.8, המצביע על רמת סיכון קריטית. הפגם בביצוע קוד מרחוק לא מאומת אפשר לתוקפים להפעיל קוד שרירותי במערכות פגיעות ללא כל סוג של אימות, מה שהעניק להם גישה בלתי מוגבלת לנתונים רגישים ויכולת לסכן רשתות. הוספת דאגות נוספות לחומרת הפגיעות הזו היא העובדה שקוד הוכחת מושג שוחרר, המספק קו מנחה לפושעי סייבר נוספים לנצל את הפגם הזה בקלות.
CVE-2023-27351: פגם בגילוי מידע לא מאומת
לפגיעות השנייה, CVE-2023-27351, יש ציון CVSS v3.1 של 8.2, הנחשב בסיכון גבוה. פגם זה אפשר חשיפת מידע לא מאומת, כלומר התוקפים יכלו לגשת לנתונים רגישים ללא צורך באישורים תקפים. ניצול פגיעות זו יאפשר לפושעי סייבר להשיג מידע בעל ערך ואפשר להשתמש בו לצורך התקפות ממוקדות יותר מדויקות. למרות שלא קריטי כמו פגם ביצוע הקוד מרחוק, פגיעות זו עדיין היוותה איום ניכר על האבטחה והפרטיות של המשתמשים.
שוחרר קוד הוכחת קונספט
קוד הוכחת הרעיון (PoC) שהומצא לציבור הגביר את הסיכונים הקשורים לפגיעויות אלו. קוד PoC זה סיפק מפת דרכים לתוקפים פוטנציאליים לנצל את הפגמים הללו גם ללא ידע טכני נרחב. שחרור קוד PoC הוא חרב פיפיות; בעוד שהוא מסייע בהפצת המודעות לגבי פגמי אבטחה ומסייע לחוקרי אבטחה לפתח תיקונים, הוא גם מספק לתוקפים לעתיד תוכנית לביצוע התקפות. התיקונים שפורסמו עבור פגיעויות אלה הם קריטיים כדי להבטיח את האבטחה של משתמשי PaperCut והרשתות שלהם.
שחקנים זדוניים מנצלים פגיעויות של PaperCut
כאשר נודעו פגיעויות PaperCut, כנופיות שונות של תוכנות כופר החלו במהירות לנצל אותן באופן פעיל. בין השחקנים הזדוניים הללו היו זני Lace Tempest ו-LockBit תוכנת כופר, שניהם מכוונים לשרתי PaperCut פגיעים כדי לחדור לרשתות ולפרוס את עומסי הכופר שלהם.
Lace Tempest (Clop Ransomware Affiliate) מכוון לשרתים פגיעים
Lace Tempest, שלוחה של קבוצת תוכנות הכופר הידועה Clop , הייתה אחד השחקנים הזדוניים הראשונים שניצלו את נקודות התורפה של PaperCut. באמצעות ביצוע קוד מרחוק לא מאומת ופגמים בחשיפת מידע, Lace Tempest הצליחה לסכן שרתים פגיעים, ולהשיג גישה בלתי מוגבלת לנתונים ורשתות רגישים. לאחר שנכנסה למערכות הנפגעות הללו, Lace Tempest פרסה תוכנת כופר של Clop, הצפנה קבצים ודרשה כופר כדי לשחרר את מפתחות הפענוח.
זן LockBit Ransomware מכוון גם לשרתי PaperCut
LockBit , זן נוסף של תוכנת כופר ידוע לשמצה, גם ניצל באופן פעיל פגיעויות של שרת PaperCut. בדומה לאסטרטגיה של לייס טמפסט, LockBit ניצלה את ביצועי הקוד מרחוק והפגמים בחשיפת המידע הבלתי מאומתים כדי לחדור למערכות פגיעות. עם גישה לנתונים רגישים ולרשתות פנימיות, LockBit פרסה את מטען הכופר שלה, מה שהוביל לקבצים מוצפנים ולדרישות כופר. האימוץ המהיר של פגיעויות אלו על ידי גורמים זדוניים כגון LockBit ו-Lace Tempest מדגיש את חומרת הפגמים הללו ב-PaperCut ומדגיש את החשיבות של תיקון ועדכון קבוע של תוכנות כדי להגן מפני איומי סייבר.
טקטיקות התקפה של Lace Tempest
Lace Tempest, שותפת תוכנת הכופר של Clop, פיתחה את טקטיקות ההתקפה הייחודיות שלה כדי לנצל את פגיעויות שרת PaperCut ביעילות. על ידי שימוש בשיטות מתוחכמות כגון פקודות PowerShell, חיבורי שרתי פקודה ובקרה ומשואה של Cobalt Strike Beacon, Lace Tempest חדרה בהצלחה למערכות וסיפרה את מטען הכופר שלה.
שימוש בפקודות PowerShell כדי לספק TrueBot DLL
ההתקפות של Lace Tempest מתחילות לרוב בביצוע פקודות PowerShell, שבהן הם משתמשים כדי להעביר קובץ TrueBot DLL זדוני (ספריית קישורים דינמית) למערכת הממוקדת. לאחר מכן, קובץ DLL זה נטען למערכת, ומשמש כאבן בניין לפעילויות זדוניות נוספות, כגון יצירת חיבורים לשרתי פקודה ובקרה והורדת רכיבי תוכנה זדונית נוספים.
מתחבר לשרת פיקוד ובקרה
ברגע שה-DLL של TrueBot מוקם, התוכנה הזדונית של Lace Tempest מתחברת לשרת פקודה ובקרה (C2). חיבור זה מאפשר לתוקפים לשלוח פקודות ולקבל נתונים מהמערכת שנפרצה, מה שמקל על חילוף נתונים ומאפשר פריסה של רכיבים או כלים נוספים של תוכנות זדוניות, כגון Cobalt Strike Beacon.
שימוש ב-Cobalt Strike Beacon עבור אספקת תוכנות כופר
Lace Tempest משתמשת לעתים קרובות ב-Cobalt Strike Beacon כחלק משרשרת ההתקפה שלה. Cobalt Strike הוא כלי לגיטימי לבדיקת חדירה, הכולל סוכן לאחר ניצול בשם "המגדלור". לרוע המזל, פושעי סייבר כמו Lace Tempest שינו את הכלי הזה למטרותיהם הזדוניות. במקרה זה, הם משתמשים ב-Cobalt Strike Beacon כדי לספק תוכנת כופר של Clop למערכות הממוקדות. לאחר פריסת תוכנת הכופר, היא מצפינה קבצים במערכת ודורשת כופר עבור מפתחות פענוח, ולמעשה מחזיקה את הנתונים של הקורבנות כבני ערובה.
שינוי בפעולות כופר
חל שינוי ניכר בפעילותן של כנופיות תוכנות כופר, כמו קלופ, בשנים האחרונות. במקום להסתמך רק על הצפנת נתונים ולדרוש כופר עבור מפתחות פענוח, התוקפים נותנים כעת עדיפות לגניבת נתונים רגישים למטרות סחיטה. השינוי הזה בטקטיקה הפך את התקפות הסייבר לאיימות עוד יותר, שכן שחקנים זדוניים יכולים כעת למנף את הנתונים הגנובים כדי לאלץ קורבנות לשלם כופר, גם אם יש להם אסטרטגיות גיבוי טובות.
התמקד בגניבת נתונים לצורך סחיטה
כנופיות תוכנות כופר הבינו שגניבת נתונים למטרות סחיטה יכולה להניב תוצאות משתלמות יותר מאשר הסתמכות על הצפנה כדי להחזיק קורבנות כבני ערובה. על ידי סינון מידע רגיש, התוקפים יכולים כעת לאיים לפרסם או למכור את הנתונים הגנובים ברשת האפלה, מה שעלול לגרום לנזק פיננסי ומוניטין משמעותי לארגונים. לחץ נוסף זה מגדיל את הסבירות שקורבנות ישלמו את דמי הכופר הנדרשים.
תעדוף גניבת נתונים בהתקפות
בהתאם לשינוי הזה, כנופיות תוכנות כופר כמו Lace Tempest החלו לתעדף גניבת נתונים בהתקפות שלהם. על ידי פיתוח טקטיקות תקיפה מתוחכמות כגון שימוש בפקודות PowerShell, ה-DLL TrueBot ו-Cobalt Strike Beacon, השחקנים הזדוניים האלה מסוגלים לחדור למערכות פגיעות ולחלץ נתונים לפני הצפנתם, ולמעשה להגדיל את סיכוייהם לסחיטה מוצלחת.
ההיסטוריה של קלופ גאנג עם ניצול פגיעויות עבור חילוץ נתונים
לכנופיית קלופ יש היסטוריה של ניצול נקודות תורפה למטרות חילוץ נתונים. לדוגמה, בשנת 2020, פעילי קלופ פרצו בהצלחה ל-Global Accellion וגנבו נתונים מכ-100 חברות באמצעות פרצות שנחשפו באפליקציית File Transfer Appliance של החברה. לאחרונה, כנופיית קלופ השתמשה בפגיעויות של יום אפס בפלטפורמת שיתוף הקבצים המאובטחת GoAnywhere MFT כדי לגנוב נתונים מ-130 חברות. דפוס זה של ניצול נקודות תורפה לגניבת נתונים, בשילוב עם נוף תוכנות הכופר המתפתח ללא הרף, מדגיש את הצורך של ארגונים לאמץ אמצעי אבטחה חזקים ולתחזק תוכנה מעודכנת כדי להגן על הנכסים הקריטיים שלהם.