Vulnerabilità di PaperCut corrette
PaperCut, una popolare soluzione software per la gestione della stampa, ha recentemente affrontato due significative vulnerabilità sfruttate attivamente dai gruppi di ransomware. Queste vulnerabilità sono state ora corrette dall'azienda per eliminare potenziali rischi.
Sommario
CVE-2023-27350: difetto di esecuzione di codice remoto non autenticato
Questa vulnerabilità ha un punteggio CVSS v3.1 di 9.8, che indica un livello di rischio critico. Il difetto di esecuzione di codice remoto non autenticato ha consentito agli aggressori di eseguire codice arbitrario su sistemi vulnerabili senza alcun tipo di autenticazione, offrendo loro accesso illimitato a dati sensibili e la possibilità di compromettere le reti. Ad aggiungere ulteriori preoccupazioni alla gravità di questa vulnerabilità è il fatto che è stato rilasciato il codice proof of concept, fornendo una linea guida per un maggior numero di criminali informatici per sfruttare facilmente questo difetto.
CVE-2023-27351: difetto di divulgazione di informazioni non autenticate
La seconda vulnerabilità, CVE-2023-27351, ha un punteggio CVSS v3.1 di 8.2, che è considerato ad alto rischio. Questo difetto consentiva la divulgazione di informazioni non autenticate, il che significa che gli aggressori potevano accedere a dati sensibili senza bisogno di credenziali valide. Lo sfruttamento di questa vulnerabilità consentirebbe ai criminali informatici di ottenere informazioni preziose e potenzialmente utilizzarle per attacchi mirati più precisi. Anche se non così critica come il difetto di esecuzione del codice in modalità remota, questa vulnerabilità rappresentava comunque una minaccia considerevole per la sicurezza e la privacy degli utenti.
Rilasciato il codice Proof of Concept
Il codice PoC (Proof of Concept) reso disponibile al pubblico ha aumentato i rischi associati a queste vulnerabilità. Questo codice PoC ha fornito una tabella di marcia per i potenziali aggressori per sfruttare questi difetti anche senza una vasta conoscenza tecnica. Rilasciare il codice PoC è un'arma a doppio taglio; mentre aiuta a diffondere la consapevolezza sui difetti di sicurezza e aiuta i ricercatori di sicurezza a sviluppare patch, fornisce anche agli aspiranti aggressori un modello per condurre attacchi. Le patch rilasciate per queste vulnerabilità sono fondamentali per garantire la sicurezza degli utenti di PaperCut e delle loro reti.
Attori malintenzionati che sfruttano le vulnerabilità di PaperCut
Quando le vulnerabilità di PaperCut sono diventate note, varie bande di ransomware hanno rapidamente iniziato a sfruttarle attivamente. Tra questi malintenzionati c'erano i ransomware Lace Tempest e LockBit, entrambi destinati ai server PaperCut vulnerabili per infiltrarsi nelle reti e distribuire i loro payload ransomware.
Lace Tempest (affiliato Clop Ransomware) mira a server vulnerabili
Lace Tempest, affiliato del noto gruppo di ransomware Clop , è stato uno dei primi malintenzionati a sfruttare le vulnerabilità di PaperCut. Utilizzando l'esecuzione di codice remoto non autenticato e i difetti di divulgazione delle informazioni, Lace Tempest è riuscita a compromettere i server vulnerabili, ottenendo un accesso illimitato a dati e reti sensibili. Una volta all'interno di questi sistemi compromessi, Lace Tempest ha distribuito il ransomware Clop, crittografando i file e chiedendo riscatti per rilasciare le chiavi di decrittazione.
Il ceppo del ransomware LockBit prende di mira anche i server PaperCut
Anche LockBit , un altro famigerato ceppo di ransomware, ha sfruttato attivamente le vulnerabilità del server PaperCut. Simile alla strategia di Lace Tempest, LockBit ha sfruttato l'esecuzione di codice remoto non autenticato e i difetti di divulgazione delle informazioni per infiltrarsi nei sistemi vulnerabili. Con l'accesso a dati sensibili e reti interne, LockBit ha implementato il suo payload ransomware, portando a file crittografati e richieste di riscatto. La rapida adozione di queste vulnerabilità da parte di attori malintenzionati come LockBit e Lace Tempest evidenzia la gravità di questi difetti di PaperCut e sottolinea l'importanza di applicare regolarmente patch e aggiornare il software per proteggersi dalle minacce informatiche.
Tattiche di attacco di Lace Tempest
Lace Tempest, l'affiliata del ransomware Clop, ha sviluppato le sue tattiche di attacco uniche per sfruttare efficacemente le vulnerabilità del server PaperCut. Utilizzando metodi sofisticati come i comandi PowerShell, le connessioni al server di comando e controllo e il Cobalt Strike Beacon, Lace Tempest si è infiltrato con successo nei sistemi e ha consegnato il suo payload ransomware.
Utilizzo dei comandi di PowerShell per fornire TrueBot DLL
Gli attacchi di Lace Tempest spesso iniziano con l'esecuzione di comandi PowerShell, che utilizzano per consegnare un file dannoso TrueBot DLL (Dynamic Link Library) al sistema preso di mira. Questo file DLL viene quindi caricato sul sistema e funge da elemento costitutivo per ulteriori attività dannose, come stabilire connessioni ai server di comando e controllo e scaricare componenti malware aggiuntivi.
Si connette a un server di comando e controllo
Una volta installata la DLL TrueBot, il malware di Lace Tempest si connette a un server di comando e controllo (C2). Questa connessione consente agli aggressori di inviare comandi e ricevere dati dal sistema compromesso, facilitando l'esfiltrazione dei dati e consentendo l'implementazione di componenti o strumenti malware aggiuntivi, come Cobalt Strike Beacon.
Utilizzo di Cobalt Strike Beacon per la consegna di ransomware
Lace Tempest usa spesso il Cobalt Strike Beacon come parte della sua catena d'attacco. Cobalt Strike è uno strumento di test di penetrazione legittimo, che include un agente post-sfruttamento chiamato "Beacon". Sfortunatamente, i criminali informatici come Lace Tempest hanno riproposto questo strumento per i loro obiettivi dannosi. In questo caso, usano il Cobalt Strike Beacon per consegnare il ransomware Clop ai sistemi presi di mira. Una volta distribuito, il ransomware crittografa i file sul sistema e richiede un riscatto per le chiavi di decrittazione, tenendo effettivamente in ostaggio i dati delle vittime.
Cambio nelle operazioni ransomware
Negli ultimi anni c'è stato un notevole cambiamento nelle operazioni delle bande di ransomware, come Clop. Invece di fare affidamento esclusivamente sulla crittografia dei dati e richiedere riscatti per le chiavi di decrittazione, gli aggressori stanno ora dando la priorità al furto di dati sensibili a scopo di estorsione. Questo cambiamento di tattica ha reso gli attacchi informatici ancora più minacciosi, poiché i malintenzionati possono ora sfruttare i dati rubati per costringere le vittime a pagare un riscatto, anche se dispongono di valide strategie di backup.
Concentrati sul furto di dati per estorsione
Le bande di ransomware si sono rese conto che il furto di dati a scopo di estorsione può produrre risultati più redditizi rispetto al semplice affidamento sulla crittografia per tenere in ostaggio le vittime. Estrapolando informazioni sensibili, gli aggressori possono ora minacciare di pubblicare o vendere i dati rubati sul dark web, causando potenzialmente danni finanziari e reputazionali significativi alle organizzazioni. Questa ulteriore pressione aumenta la probabilità che le vittime paghino i riscatti richiesti.
Dare priorità al furto di dati negli attacchi
In linea con questo cambiamento, gruppi di ransomware come Lace Tempest hanno iniziato a dare la priorità al furto di dati nei loro attacchi. Sviluppando sofisticate tattiche di attacco come l'utilizzo dei comandi PowerShell, TrueBot DLL e Cobalt Strike Beacon, questi malintenzionati sono in grado di infiltrarsi nei sistemi vulnerabili ed esfiltrare i dati prima di crittografarli, aumentando di fatto le possibilità di un'estorsione riuscita.
La storia di Clop Gang con lo sfruttamento delle vulnerabilità per l'esfiltrazione dei dati
La banda di Clop ha una storia di sfruttamento delle vulnerabilità per scopi di esfiltrazione di dati. Ad esempio, nel 2020, gli agenti di Clop hanno violato con successo Global Accellion e rubato dati da circa 100 aziende utilizzando le vulnerabilità rivelate nell'applicazione File Transfer Appliance dell'azienda. Più recentemente, la banda di Clop ha utilizzato le vulnerabilità zero-day nella piattaforma di condivisione sicura dei file GoAnywhere MFT per rubare dati da 130 aziende. Questo modello di sfruttamento delle vulnerabilità per il furto di dati, combinato con il panorama dei ransomware in continua evoluzione, evidenzia la necessità per le organizzazioni di adottare solide misure di sicurezza e mantenere un software aggiornato per proteggere le proprie risorse critiche.