PaperCut ievainojamības labotas
PaperCut, populārs drukas pārvaldības programmatūras risinājums, nesen saskārās ar divām nozīmīgām ievainojamībām, kuras aktīvi izmantoja izspiedējvīrusu grupas. Uzņēmums tagad ir izlabojis šīs ievainojamības, lai novērstu iespējamos riskus.
Satura rādītājs
CVE-2023-27350: neautentificēta attālās koda izpildes kļūda
Šīs ievainojamības CVSS v3.1 vērtējums ir 9,8, kas norāda uz kritisku riska līmeni. Neautentificēta attālināta koda izpildes kļūda ļāva uzbrucējiem izpildīt patvaļīgu kodu ievainojamās sistēmās bez jebkāda veida autentifikācijas, nodrošinot viņiem neierobežotu piekļuvi sensitīviem datiem un iespēju apdraudēt tīklus. Papildu bažas par šīs ievainojamības nopietnību rada fakts, ka tika izlaists koncepcijas koda pierādījums, kas sniedz norādījumus lielākam skaitam kibernoziedznieku, kā viegli izmantot šo trūkumu.
CVE-2023-27351: Neautentificētas informācijas atklāšanas kļūda
Otrās ievainojamības CVE-2023-27351 CVSS v3.1 vērtējums ir 8,2, kas tiek uzskatīts par augstu risku. Šis trūkums ļāva izpaust neautentificētu informāciju, kas nozīmē, ka uzbrucēji varēja piekļūt sensitīviem datiem, neprasot derīgus akreditācijas datus. Šīs ievainojamības izmantošana ļautu kibernoziedzniekiem iegūt vērtīgu informāciju un potenciāli izmantot to precīzākiem mērķtiecīgiem uzbrukumiem. Lai gan šī ievainojamība nav tik kritiska kā attālās koda izpildes kļūda, tā tomēr radīja ievērojamus draudus lietotāju drošībai un privātumam.
Izlaists koncepcijas apliecinājuma kods
Koncepcijas pierādījuma (PoC) kods, kas tika darīts pieejams sabiedrībai, palielināja ar šīm ievainojamībām saistītos riskus. Šis PoC kods sniedza ceļvedi potenciālajiem uzbrucējiem, lai izmantotu šos trūkumus pat bez plašām tehniskām zināšanām. PoC koda atbrīvošana ir abpusēji griezīgs zobens; lai gan tas palīdz izplatīt izpratni par drošības trūkumiem un palīdz drošības pētniekiem izstrādāt ielāpus, tas arī nodrošina potenciālajiem uzbrucējiem plānu uzbrukumu veikšanai. Šīm ievainojamībām izlaistie ielāpi ir būtiski, lai nodrošinātu PaperCut lietotāju un viņu tīklu drošību.
Ļaunprātīgi dalībnieki, kas izmanto PaperCut ievainojamības
Kad kļuva zināmas PaperCut ievainojamības, dažādas ransomware bandas ātri sāka tās aktīvi izmantot. Starp šiem ļaunprātīgajiem dalībniekiem bija Lace Tempest un LockBit izpirkuma programmatūras celmi, kas abi bija vērsti uz neaizsargātiem PaperCut serveriem, lai iefiltrētos tīklos un izvietotu to izspiedējvīrusu lietderīgās slodzes.
Lace Tempest (Clop Ransomware Affiliate) mērķauditorija ir neaizsargāti serveri
Lace Tempest, plaši pazīstamās Clop izspiedējvīrusu grupas filiāle, bija viens no pirmajiem ļaunprātīgajiem dalībniekiem, kas izmantoja PaperCut ievainojamības. Izmantojot neautentificētas attālās koda izpildes un informācijas atklāšanas trūkumus, Lace Tempest izdevās apdraudēt neaizsargātos serverus, iegūstot neierobežotu piekļuvi sensitīviem datiem un tīkliem. Nokļūstot šajās apdraudētajās sistēmās, Lace Tempest izvietoja Clop ransomware, šifrējot failus un pieprasot izpirkuma maksu, lai atbrīvotu atšifrēšanas atslēgas.
LockBit Ransomware celms ir paredzēts arī PaperCut serveriem
LockBit , vēl viens bēdīgi slavens izspiedējvīrusa celms, arī aktīvi izmanto PaperCut servera ievainojamības. Līdzīgi kā Lace Tempest stratēģija, LockBit izmantoja neautentificētas attālās koda izpildes un informācijas izpaušanas trūkumus, lai iefiltrētos neaizsargātās sistēmās. Ar piekļuvi sensitīviem datiem un iekšējiem tīkliem, LockBit izvietoja savu izspiedējvīrusu lietderīgo slodzi, kā rezultātā tika izveidoti šifrēti faili un izpirkuma maksas. Ātrā šo ievainojamību pieņemšana, ko veic ļaunprātīgi dalībnieki, piemēram, LockBit un Lace Tempest, uzsver šo PaperCut trūkumu nopietnību un uzsver, cik svarīgi ir regulāri labot un atjaunināt programmatūru, lai aizsargātu pret kiberdraudiem.
Mežģīņu vētras uzbrukuma taktika
Lace Tempest, Clop ransomware saistītais uzņēmums, ir izstrādājis savu unikālo uzbrukuma taktiku, lai efektīvi izmantotu PaperCut servera ievainojamības. Izmantojot sarežģītas metodes, piemēram, PowerShell komandas, komandu un vadības serveru savienojumus un Cobalt Strike Beacon, Lace Tempest ir veiksmīgi iefiltrējies sistēmās un piegādājis savu izspiedējvīrusu lietderīgo slodzi.
PowerShell komandu izmantošana, lai nodrošinātu TrueBot DLL
Lace Tempest uzbrukumi bieži sākas ar PowerShell komandu izpildi, kuras viņi izmanto, lai mērķa sistēmā piegādātu ļaunprātīgu TrueBot DLL (dinamiskās saites bibliotēkas) failu . Pēc tam šis DLL fails tiek ielādēts sistēmā un kalpo kā pamats turpmākām ļaunprātīgām darbībām, piemēram, savienojumu izveidei ar komandēšanas un kontroles serveriem un papildu ļaunprātīgas programmatūras komponentu lejupielādei.
Izveido savienojumu ar komandu un vadības serveri
Kad TrueBot DLL ir ievietots, Lace Tempest ļaunprogrammatūra izveido savienojumu ar komandu un vadības (C2) serveri. Šis savienojums ļauj uzbrucējiem nosūtīt komandas un saņemt datus no apdraudētās sistēmas, atvieglojot datu izfiltrēšanu un ļaujot izvietot papildu ļaunprātīgas programmatūras komponentus vai rīkus, piemēram, Cobalt Strike Beacon.
Cobalt Strike Beacon izmantošana Ransomware piegādei
Lace Tempest bieži izmanto Cobalt Strike Beacon kā daļu no uzbrukuma ķēdes. Cobalt Strike ir likumīgs iespiešanās pārbaudes rīks, kas ietver pēcekspluatācijas aģentu ar nosaukumu "Bāka". Diemžēl kibernoziedznieki, piemēram, Lace Tempest, ir atkārtoti izmantojuši šo rīku saviem ļaunprātīgajiem mērķiem. Šajā gadījumā viņi izmanto Cobalt Strike Beacon, lai piegādātu Clop ransomware mērķa sistēmām. Kad izspiedējprogrammatūra ir izvietota, tā šifrē failus sistēmā un pieprasa izpirkuma maksu par atšifrēšanas atslēgām, efektīvi turot upuru datus par ķīlniekiem.
Ransomware darbību maiņa
Pēdējos gados ir notikušas ievērojamas izmaiņas izspiedējvīrusu grupu, piemēram, Clop, darbībā. Tā vietā, lai paļautos tikai uz datu šifrēšanu un pieprasītu izpirkuma maksu par atšifrēšanas atslēgām, uzbrucēji tagad par prioritāti izvirza sensitīvu datu zagšanu izspiešanas nolūkos. Šīs taktikas izmaiņas ir padarījušas kiberuzbrukumus vēl draudīgākus, jo ļaundari tagad var izmantot nozagtos datus, lai piespiestu upurus maksāt izpirkuma maksu, pat ja viņiem ir izveidotas drošas rezerves stratēģijas.
Koncentrējieties uz datu zagšanu izspiešanas nolūkā
Ransomware bandas ir sapratušas, ka datu zagšana izspiešanas nolūkos var dot ienesīgākus rezultātus, nekā vienkārši paļaušanās uz šifrēšanu, lai upurus turētu par ķīlniekiem. Izfiltrējot sensitīvu informāciju, uzbrucēji tagad var draudēt publicēt vai pārdot nozagtos datus tumšajā tīmeklī, potenciāli radot būtisku finansiālu un reputācijas kaitējumu organizācijām. Šis papildu spiediens palielina iespējamību, ka upuri maksās pieprasītās izpirkuma maksas.
Datu zādzību prioritāte uzbrukumos
Saskaņā ar šo maiņu izspiedējvīrusu grupas, piemēram, Lace Tempest, savos uzbrukumos ir sākušas piešķirt prioritāti datu zādzībām. Izstrādājot sarežģītas uzbrukuma taktikas, piemēram, izmantojot PowerShell komandas, TrueBot DLL un Cobalt Strike Beacon, šie ļaunprātīgie dalībnieki spēj iefiltrēties neaizsargātās sistēmās un izfiltrēt datus pirms to šifrēšanas, tādējādi efektīvi palielinot izredzes uz veiksmīgu izspiešanu.
Clop Gang vēsture ar ievainojamību izmantošanu datu eksfiltrācijai
Clop banda ir izmantojusi ievainojamības datu izfiltrēšanas nolūkos. Piemēram, 2020. gadā Clop darbinieki veiksmīgi uzlauza Global Accellion un nozaga datus no aptuveni 100 uzņēmumiem, izmantojot atklātās ievainojamības uzņēmuma lietojumprogrammā File Transfer Appliance. Pavisam nesen Clop banda izmantoja GoAnywhere MFT drošās failu apmaiņas platformas nulles dienas ievainojamības, lai nozagtu datus no 130 uzņēmumiem. Šis ievainojamību izmantošanas modelis datu zādzībām apvienojumā ar nepārtraukti mainīgo izspiedējvīrusu ainavu uzsver, ka organizācijām ir jāpieņem stingri drošības pasākumi un jāuztur atjaunināta programmatūra, lai aizsargātu savus kritiskos līdzekļus.