PaperCut ranjivosti zakrpane
PaperCut, popularno softversko rješenje za upravljanje ispisom, nedavno se suočio s dvije značajne ranjivosti koje su skupine ransomwarea aktivno iskorištavale. Tvrtka je sada zakrpala ove ranjivosti kako bi uklonila potencijalne rizike.
Sadržaj
CVE-2023-27350: greška u neautoriziranom daljinskom izvršavanju koda
Ova ranjivost ima ocjenu CVSS v3.1 od 9,8, što ukazuje na kritičnu razinu rizika. Greška u neautoriziranom daljinskom izvršavanju koda omogućila je napadačima da izvrše proizvoljan kod na ranjivim sustavima bez ikakve vrste autentifikacije, dajući im neograničen pristup osjetljivim podacima i mogućnost kompromitiranja mreža. Dodatna zabrinutost ozbiljnosti ove ranjivosti je činjenica da je objavljen kod za dokaz koncepta, pružajući smjernice većem broju kibernetičkih kriminalaca da lako iskoriste ovaj nedostatak.
CVE-2023-27351: Greška u otkrivanju neautoriziranih informacija
Druga ranjivost, CVE-2023-27351, ima ocjenu CVSS v3.1 od 8,2, što se smatra visokim rizikom. Ovaj nedostatak omogućio je otkrivanje neautoriziranih informacija, što znači da su napadači mogli pristupiti osjetljivim podacima bez potrebe za valjanim vjerodajnicama. Iskorištavanje ove ranjivosti omogućilo bi kibernetičkim kriminalcima da dobiju vrijedne informacije i potencijalno ih iskoriste za preciznije ciljane napade. Iako nije toliko kritična kao greška u daljinskom izvršavanju koda, ova ranjivost je ipak predstavljala značajnu prijetnju sigurnosti i privatnosti korisnika.
Proof of Concept Code Objavljen
Kod za dokaz koncepta (PoC) koji je dostupan javnosti povećao je rizike povezane s ovim ranjivostima. Ovaj PoC kod dao je putokaz potencijalnim napadačima za iskorištavanje ovih nedostataka čak i bez opsežnog tehničkog znanja. Objavljivanje PoC koda je dvosjekli mač; dok pomaže u širenju svijesti o sigurnosnim nedostacima i pomaže istraživačima sigurnosti razviti zakrpe, potencijalnim napadačima također pruža nacrt za provođenje napada. Zakrpe objavljene za ove ranjivosti ključne su za osiguranje sigurnosti PaperCut korisnika i njihovih mreža.
Zlonamjerni akteri iskorištavaju ranjivosti PaperCuta
Kako se saznalo za ranjivosti PaperCuta, razne skupine ransomwarea brzo su ih počele aktivno iskorištavati. Među tim zlonamjernim akterima bili su Lace Tempest i LockBit ransomware sojevi, oba ciljaju ranjive PaperCut poslužitelje da se infiltriraju u mreže i implementiraju svoje ransomware korisni terete.
Lace Tempest (Clop Ransomware podružnica) cilja ranjive poslužitelje
Lace Tempest, podružnica poznate grupe Clop ransomware , bila je jedna od prvih zlonamjernih aktera koji su iskoristili ranjivosti PaperCuta. Korištenjem neautentificiranog daljinskog izvršavanja koda i nedostataka u otkrivanju informacija, Lace Tempest uspio je kompromitirati ranjive poslužitelje, dobivši neograničen pristup osjetljivim podacima i mrežama. Nakon što je ušao u te kompromitirane sustave, Lace Tempest je postavio Clop ransomware, šifrirajući datoteke i zahtijevajući otkupnine za otpuštanje ključeva za dešifriranje.
LockBit Ransomware soj također cilja na poslužitelje PaperCut
LockBit , još jedan ozloglašeni soj ransomwarea, također aktivno iskorištava ranjivosti poslužitelja PaperCut. Slično strategiji Lace Tempest, LockBit je iskoristio nedostatke neautentificiranog daljinskog izvršavanja koda i otkrivanja informacija kako bi se infiltrirao u ranjive sustave. Uz pristup osjetljivim podacima i internim mrežama, LockBit je implementirao svoj ransomware korisni teret, što je dovelo do šifriranih datoteka i zahtjeva za otkupninom. Brzo usvajanje ovih ranjivosti od strane zlonamjernih aktera kao što su LockBit i Lace Tempest naglašava ozbiljnost ovih nedostataka PaperCut i naglašava važnost redovitog zakrpa i ažuriranja softvera za zaštitu od cyber prijetnji.
Taktika napada Lace Tempest
Lace Tempest, podružnica Clop ransomwarea, razvila je svoju jedinstvenu taktiku napada za učinkovito iskorištavanje ranjivosti poslužitelja PaperCut. Upotrebom sofisticiranih metoda kao što su PowerShell naredbe, povezivanja poslužitelja za naredbe i kontrolu i Cobalt Strike Beacon, Lace Tempest se uspješno infiltrirao u sustave i isporučio svoj ransomware korisni teret.
Korištenje PowerShell naredbi za isporuku TrueBot DLL-a
Napadi Lace Tempesta često započinju izvršavanjem PowerShell naredbi, koje koriste za isporuku zlonamjerne TrueBot DLL (Dynamic Link Library) datoteke ciljanom sustavu. Ta se DLL datoteka zatim učitava u sustav i služi kao građevni blok za daljnje zlonamjerne aktivnosti, kao što je uspostavljanje veza s poslužiteljima za naredbu i kontrolu i preuzimanje dodatnih komponenti zlonamjernog softvera.
Spaja se na poslužitelj za naredbe i kontrolu
Nakon što je TrueBot DLL postavljen, zlonamjerni softver Lace Tempest povezuje se s poslužiteljem za naredbe i kontrolu (C2). Ova veza omogućuje napadačima slanje naredbi i primanje podataka iz kompromitiranog sustava, olakšavajući eksfiltraciju podataka i omogućujući postavljanje dodatnih zlonamjernih komponenti ili alata, kao što je Cobalt Strike Beacon.
Korištenje Cobalt Strike Beacona za isporuku Ransomwarea
Lace Tempest često koristi Cobalt Strike Beacon kao dio svog lanca napada. Cobalt Strike je legitiman alat za testiranje penetracije, koji uključuje agent nakon eksploatacije pod nazivom "Beacon". Nažalost, kibernetički kriminalci poput Lace Tempest prenamijenili su ovaj alat za svoje zlonamjerne ciljeve. U ovom slučaju koriste Cobalt Strike Beacon za isporuku Clop ransomwarea ciljanim sustavima. Nakon što se ransomware postavi, šifrira datoteke u sustavu i traži otkupninu za ključeve za dešifriranje, učinkovito držeći podatke žrtve kao taoce.
Promjena u operacijama ransomwarea
Posljednjih godina vidljiv je pomak u djelovanju ransomware bandi, poput Clopa. Umjesto da se oslanjaju isključivo na šifriranje podataka i zahtijevaju otkupninu za ključeve za dešifriranje, napadači sada daju prednost krađi osjetljivih podataka u svrhu iznude. Ova promjena u taktici učinila je cyber napade još prijetećim, budući da zlonamjerni akteri sada mogu iskoristiti ukradene podatke kako bi prisilili žrtve na plaćanje otkupnine, čak i ako imaju dobre sigurnosne strategije.
Usredotočite se na krađu podataka za iznudu
Bande ransomwarea shvatile su da krađa podataka u svrhu iznude može dati unosnije rezultate nego jednostavno oslanjanje na enkripciju za držanje žrtava kao taoca. Eksfiltracijom osjetljivih informacija, napadači sada mogu zaprijetiti objavljivanjem ili prodajom ukradenih podataka na mračnom webu, potencijalno uzrokujući značajnu financijsku i reputacijsku štetu organizacijama. Ovaj dodatni pritisak povećava vjerojatnost da će žrtve platiti tražene otkupnine.
Davanje prioriteta krađi podataka u napadima
U skladu s ovom promjenom, ransomware bande poput Lace Tempesta počele su davati prednost krađi podataka u svojim napadima. Razvijanjem sofisticiranih taktika napada kao što je korištenje naredbi PowerShell, TrueBot DLL i Cobalt Strike Beacon, ovi zlonamjerni akteri mogu se infiltrirati u ranjive sustave i eksfiltrirati podatke prije nego što ih šifriraju, učinkovito povećavajući svoje šanse za uspješnu iznudu.
Povijest Clop Ganga s iskorištavanjem ranjivosti za eksfiltraciju podataka
Banda Clop ima povijest iskorištavanja ranjivosti u svrhu eksfiltracije podataka. Na primjer, 2020. Clopovi operativci uspješno su hakirali Global Accellion i ukrali podatke iz približno 100 tvrtki koristeći otkrivene ranjivosti u tvrtkinoj aplikaciji File Transfer Appliance. Nedavno je banda Clop iskoristila ranjivosti nultog dana u sigurnoj platformi za dijeljenje datoteka GoAnywhere MFT kako bi ukrala podatke iz 130 tvrtki. Ovaj obrazac iskorištavanja ranjivosti za krađu podataka, u kombinaciji s krajolikom ransomwarea koji se neprestano razvija, naglašava potrebu da organizacije usvoje snažne sigurnosne mjere i održavaju ažuran softver kako bi zaštitile svoju kritičnu imovinu.