PaperCut-sårbarheter rettet
PaperCut, en populær programvareløsning for utskriftsadministrasjon, sto nylig overfor to betydelige sårbarheter som gjenger aktivt utnyttet løsepengevare. Disse sårbarhetene er nå lappet av selskapet for å eliminere potensielle risikoer.
Innholdsfortegnelse
CVE-2023-27350: Uautentisert ekstern kodeutførelsesfeil
Denne sårbarheten har en CVSS v3.1-score på 9,8, noe som indikerer et kritisk risikonivå. Feilen ved uautentisert ekstern kjøring av kode tillot angripere å kjøre vilkårlig kode på sårbare systemer uten noen form for autentisering, noe som ga dem ubegrenset tilgang til sensitive data og muligheten til å kompromittere nettverk. En ytterligere bekymring for alvorlighetsgraden av denne sårbarheten er det faktum at proof of concept-kode ble utgitt, og gir en retningslinje for at flere nettkriminelle enkelt kan utnytte denne feilen.
CVE-2023-27351: Uautentisert informasjonsavsløringsfeil
Den andre sårbarheten, CVE-2023-27351, har en CVSS v3.1-score på 8,2, som anses som høyrisiko. Denne feilen tillot uautentisert informasjonsavsløring, noe som betyr at angripere kunne få tilgang til sensitive data uten å trenge gyldig legitimasjon. Utnyttelse av denne sårbarheten vil gjøre det mulig for nettkriminelle å få verdifull informasjon og potensielt bruke den til mer presise målrettede angrep. Selv om det ikke er så kritisk som feilen ved ekstern kjøring av kode, utgjorde dette sikkerhetsproblemet fortsatt en betydelig trussel mot brukernes sikkerhet og personvern.
Proof of Concept-kode utgitt
proof of concept-koden (PoC) som ble gjort tilgjengelig for publikum økte risikoen forbundet med disse sårbarhetene. Denne PoC-koden ga et veikart for potensielle angripere til å utnytte disse feilene selv uten omfattende teknisk kunnskap. Å frigi PoC-kode er et tveegget sverd; mens den hjelper til med å spre bevissthet om sikkerhetsmangler og hjelper sikkerhetsforskere med å utvikle oppdateringer, gir den også angripere en plan for å utføre angrep. Patchene som er utgitt for disse sårbarhetene er avgjørende for å sikre sikkerheten til PaperCut-brukere og deres nettverk.
Ondsinnede aktører som utnytter PaperCut-sårbarheter
Etter hvert som PaperCut-sårbarhetene ble kjent, begynte forskjellige løsepengevaregjenger raskt å aktivt utnytte dem. Blant disse ondsinnede aktørene var Lace Tempest og LockBit løsepengevarestammer, begge rettet mot sårbare PaperCut-servere for å infiltrere nettverk og distribuere løsepengevare-nyttelastene deres.
Lace Tempest (Clop Ransomware Affiliate) retter seg mot sårbare servere
Lace Tempest, en datter av den velkjente Clop løsepengevaregruppen , var en av de første ondsinnede aktørene som utnyttet PaperCut-sårbarhetene. Ved å bruke uautentisert ekstern kjøring av kode og informasjonsavsløring, klarte Lace Tempest å kompromittere sårbare servere og få ubegrenset tilgang til sensitive data og nettverk. En gang inne i disse kompromitterte systemene, distribuerte Lace Tempest Clop løsepengeprogramvare, krypterte filer og krevde løsepenger for å frigi dekrypteringsnøklene.
LockBit Ransomware-belastning retter seg også mot PaperCut-servere
LockBit , en annen beryktet ransomware-stamme, har også aktivt utnyttet PaperCut-serversårbarheter. I likhet med Lace Tempests strategi, utnyttet LockBit uautentisert ekstern kodekjøring og informasjonsavsløringsfeil for å infiltrere sårbare systemer. Med tilgang til sensitive data og interne nettverk, distribuerte LockBit løsepengelasten, noe som førte til krypterte filer og krav om løsepenger. Den raske bruken av disse sårbarhetene av ondsinnede aktører som LockBit og Lace Tempest fremhever alvorlighetsgraden av disse PaperCut-feilene og understreker viktigheten av regelmessig oppdatering og oppdatering av programvare for å beskytte mot cybertrusler.
Lace Tempest angrepstaktikk
Lace Tempest, Clop-ransomware-tilknyttet, har utviklet sin unike angrepstaktikk for å utnytte PaperCut-serversårbarheter effektivt. Ved å bruke sofistikerte metoder som PowerShell-kommandoer, kommando- og kontrollservertilkoblinger og Cobalt Strike Beacon, har Lace Tempest vellykket infiltrert systemer og levert løsepengevare-nyttelasten.
Bruke PowerShell-kommandoer for å levere TrueBot DLL
Lace Tempests angrep begynner ofte med utførelse av PowerShell-kommandoer, som de bruker til å levere en ondsinnet TrueBot DLL-fil (Dynamic Link Library) til det målrettede systemet. Denne DLL-filen lastes deretter inn i systemet, og fungerer som en byggestein for ytterligere ondsinnede aktiviteter, for eksempel etablering av tilkoblinger til kommando- og kontrollservere og nedlasting av ytterligere skadevarekomponenter.
Kobles til en kommando- og kontrollserver
Når TrueBot DLL er på plass, kobler Lace Tempests skadevare til en kommando- og kontrollserver (C2). Denne tilkoblingen lar angriperne sende kommandoer og motta data fra det kompromitterte systemet, noe som letter dataeksfiltrering og muliggjør distribusjon av ytterligere skadevarekomponenter eller verktøy, for eksempel Cobalt Strike Beacon.
Bruker Cobalt Strike Beacon for ransomware-levering
Lace Tempest bruker ofte Cobalt Strike Beacon som en del av angrepskjeden. Cobalt Strike er et legitimt verktøy for penetrasjonstesting, som inkluderer en post-utnyttelsesagent kalt "Beacon". Dessverre har nettkriminelle som Lace Tempest gjenbrukt dette verktøyet for sine ondsinnede mål. I dette tilfellet bruker de Cobalt Strike Beacon for å levere Clop løsepengevare til de målrettede systemene. Når løsepengevaren er distribuert, krypterer den filer på systemet og krever løsepenger for dekrypteringsnøkler, og holder ofrenes data som gisler.
Skift i Ransomware-operasjoner
Det har vært et merkbart skifte i driften til gjenger som løsepenger, som Clop, de siste årene. I stedet for å stole utelukkende på kryptering av data og kreve løsepenger for dekrypteringsnøkler, prioriterer angripere nå å stjele sensitive data for utpressingsformål. Denne endringen i taktikk har gjort nettangrep enda mer truende, ettersom ondsinnede aktører nå kan utnytte de stjålne dataene til å tvinge ofrene til å betale løsepenger, selv om de har forsvarlige sikkerhetskopieringsstrategier på plass.
Fokuser på å stjele data for utpressing
Ransomware-gjenger har innsett at å stjele data for utpressingsformål kan gi mer lukrative resultater enn bare å stole på kryptering for å holde ofrene som gisler. Ved å eksfiltrere sensitiv informasjon kan angripere nå true med å publisere eller selge de stjålne dataene på det mørke nettet, noe som potensielt kan forårsake betydelig økonomisk skade og skade på omdømmet til organisasjoner. Dette ekstra presset øker sannsynligheten for at ofrene betaler de krevede løsepengene.
Prioritering av datatyveri i angrep
I tråd med dette skiftet har løsepengegjenger som Lace Tempest begynt å prioritere datatyveri i sine angrep. Ved å utvikle sofistikerte angrepstaktikker som å bruke PowerShell-kommandoer, TrueBot DLL og Cobalt Strike Beacon, er disse ondsinnede aktørene i stand til å infiltrere sårbare systemer og eksfiltrere data før de krypterer dem, noe som effektivt øker sjansene deres for en vellykket utpressing.
Clop Gangs historie med utnyttelse av sårbarheter for dataeksfiltrering
Clop-gjengen har en historie med å utnytte sårbarheter for dataeksfiltreringsformål. For eksempel, i 2020, hacket Clop-operatører Global Accellion og stjal data fra omtrent 100 selskaper ved å bruke avslørte sårbarheter i selskapets File Transfer Appliance-applikasjon. Nylig brukte Clop-gjengen nulldagssårbarheter i GoAnywhere MFTs sikre fildelingsplattform for å stjele data fra 130 selskaper. Dette mønsteret med å utnytte sårbarheter for datatyveri, kombinert med det stadig utviklende løsepengevarelandskapet, fremhever behovet for organisasjoner å ta i bruk robuste sikkerhetstiltak og opprettholde oppdatert programvare for å beskytte sine kritiske eiendeler.