PaperCut-kwetsbaarheden gepatcht
PaperCut, een populaire softwareoplossing voor printbeheer, kreeg onlangs te maken met twee belangrijke kwetsbaarheden die ransomware-bendes actief uitbuitten. Deze kwetsbaarheden zijn nu door het bedrijf gepatcht om potentiële risico's te elimineren.
Inhoudsopgave
CVE-2023-27350: Fout bij niet-geverifieerde uitvoering van externe code
Deze kwetsbaarheid heeft een CVSS v3.1-score van 9,8, wat een kritiek risiconiveau aangeeft. Door de niet-geverifieerde externe code-uitvoeringsfout konden aanvallers willekeurige code uitvoeren op kwetsbare systemen zonder enige vorm van authenticatie, waardoor ze onbeperkte toegang kregen tot gevoelige gegevens en de mogelijkheid om netwerken te compromitteren. Wat de ernst van deze kwetsbaarheid nog verder verontrust, is het feit dat er proof of concept-code is vrijgegeven, die een leidraad biedt voor meer cybercriminelen om deze kwetsbaarheid gemakkelijk te misbruiken.
CVE-2023-27351: Fout bij het vrijgeven van niet-geverifieerde informatie
De tweede kwetsbaarheid, CVE-2023-27351, heeft een CVSS v3.1-score van 8,2, wat als een hoog risico wordt beschouwd. Door deze fout kon niet-geverifieerde informatie worden vrijgegeven, wat betekent dat aanvallers toegang hadden tot gevoelige gegevens zonder dat ze geldige inloggegevens nodig hadden. Door misbruik te maken van deze kwetsbaarheid zouden cybercriminelen waardevolle informatie kunnen verkrijgen en deze mogelijk kunnen gebruiken voor nauwkeuriger gerichte aanvallen. Hoewel niet zo kritiek als de fout bij het uitvoeren van externe code, vormde deze kwetsbaarheid toch een aanzienlijke bedreiging voor de veiligheid en privacy van gebruikers.
Proof of Concept-code vrijgegeven
De proof of concept-code (PoC) die voor het publiek beschikbaar werd gesteld, verhoogde de risico's die aan deze kwetsbaarheden zijn verbonden. Deze PoC-code bood een routekaart voor potentiële aanvallers om deze gebreken te misbruiken, zelfs zonder uitgebreide technische kennis. Het vrijgeven van PoC-code is een tweesnijdend zwaard; hoewel het helpt bij het verspreiden van bewustzijn over beveiligingsfouten en het helpt bij het ontwikkelen van patches voor beveiligingsonderzoekers, biedt het potentiële aanvallers ook een blauwdruk om aanvallen uit te voeren. De patches die voor deze kwetsbaarheden zijn uitgebracht, zijn van cruciaal belang om de veiligheid van PaperCut-gebruikers en hun netwerken te waarborgen.
Kwaadwillende actoren die misbruik maken van PaperCut-kwetsbaarheden
Toen de PaperCut-kwetsbaarheden bekend werden, begonnen verschillende ransomware- bendes ze al snel actief uit te buiten. Onder deze kwaadwillende actoren bevonden zich Lace Tempest- en LockBit-ransomwaresoorten, beide gericht op kwetsbare PaperCut-servers om netwerken te infiltreren en hun ransomware-payloads in te zetten.
Lace Tempest (Clop Ransomware Affiliate) richt zich op kwetsbare servers
Lace Tempest, een dochteronderneming van de bekende Clop- ransomwaregroep, was een van de eerste kwaadwillende actoren die misbruik maakte van de PaperCut-kwetsbaarheden. Door gebruik te maken van de niet-geverifieerde uitvoering van externe code en fouten bij het vrijgeven van informatie, slaagde Lace Tempest erin om kwetsbare servers te compromitteren en onbeperkte toegang te krijgen tot gevoelige gegevens en netwerken. Eenmaal binnen deze gecompromitteerde systemen zette Lace Tempest de Clop-ransomware in, versleutelde bestanden en eiste losgeld om de decoderingssleutels vrij te geven.
LockBit Ransomware Strain richt zich ook op PaperCut-servers
LockBit , een andere beruchte ransomware-soort, maakt ook actief misbruik van de kwetsbaarheden van de PaperCut-server. Vergelijkbaar met de strategie van Lace Tempest, maakte LockBit misbruik van de niet-geverifieerde uitvoering van externe code en fouten bij het vrijgeven van informatie om kwetsbare systemen te infiltreren. Met toegang tot gevoelige gegevens en interne netwerken zette LockBit zijn ransomware-payload in, wat leidde tot versleutelde bestanden en losgeldeisen. De snelle acceptatie van deze kwetsbaarheden door kwaadwillende actoren zoals LockBit en Lace Tempest benadrukt de ernst van deze PaperCut-fouten en benadrukt het belang van het regelmatig patchen en updaten van software ter bescherming tegen cyberdreigingen.
Lace Tempest Attack-tactieken
Lace Tempest, de aan Clop ransomware gelieerde onderneming, heeft zijn unieke aanvalstactieken ontwikkeld om de kwetsbaarheden van de PaperCut-server effectief te misbruiken. Door gebruik te maken van geavanceerde methoden zoals PowerShell-commando's, commando- en controleserververbindingen en de Cobalt Strike Beacon, heeft Lace Tempest met succes systemen geïnfiltreerd en zijn ransomware-payload afgeleverd.
PowerShell-opdrachten gebruiken om TrueBot DLL te leveren
De aanvallen van Lace Tempest beginnen vaak met het uitvoeren van PowerShell-commando's, die ze gebruiken om een kwaadaardig TrueBot DLL-bestand (Dynamic Link Library) naar het beoogde systeem te sturen. Dit DLL-bestand wordt vervolgens op het systeem geladen en dient als bouwsteen voor verdere kwaadaardige activiteiten, zoals het tot stand brengen van verbindingen met command and control-servers en het downloaden van aanvullende malwarecomponenten.
Maakt verbinding met een Command and Control-server
Zodra de TrueBot DLL is geïnstalleerd, maakt de malware van Lace Tempest verbinding met een command and control (C2)-server. Door deze verbinding kunnen aanvallers commando's verzenden en gegevens ontvangen van het gecompromitteerde systeem, waardoor gegevensexfiltratie wordt vergemakkelijkt en de inzet van aanvullende malwarecomponenten of -tools, zoals de Cobalt Strike Beacon, mogelijk wordt gemaakt.
Cobalt Strike Beacon gebruiken voor levering van ransomware
Lace Tempest gebruikt vaak de Cobalt Strike Beacon als onderdeel van zijn aanvalsketen. Cobalt Strike is een legitieme tool voor penetratietesten, die een post-exploitatie-agent bevat die de "Beacon" wordt genoemd. Helaas hebben cybercriminelen zoals Lace Tempest deze tool hergebruikt voor hun kwaadaardige doeleinden. In dit geval gebruiken ze de Cobalt Strike Beacon om de Clop-ransomware naar de beoogde systemen te sturen. Zodra de ransomware is ingezet, versleutelt het bestanden op het systeem en vraagt het losgeld voor decoderingssleutels, waardoor de gegevens van de slachtoffers effectief worden gegijzeld.
Verschuiving in ransomware-operaties
Er is de afgelopen jaren een verschuiving merkbaar in de activiteiten van ransomware-bendes, zoals Clop. In plaats van alleen te vertrouwen op het versleutelen van gegevens en het eisen van losgeld voor de ontsleutelingssleutels, geven aanvallers nu prioriteit aan het stelen van gevoelige gegevens voor afpersingsdoeleinden. Deze verandering in tactiek heeft cyberaanvallen nog bedreigender gemaakt, omdat kwaadwillende actoren nu de gestolen gegevens kunnen gebruiken om slachtoffers te dwingen losgeld te betalen, zelfs als ze over degelijke back-upstrategieën beschikken.
Focus op het stelen van gegevens voor afpersing
Ransomware-bendes hebben zich gerealiseerd dat het stelen van gegevens voor afpersingsdoeleinden lucratiever kan zijn dan simpelweg vertrouwen op encryptie om slachtoffers te gijzelen. Door gevoelige informatie te exfiltreren, kunnen aanvallers nu dreigen de gestolen gegevens op het dark web te publiceren of te verkopen, wat mogelijk aanzienlijke financiële en reputatieschade voor organisaties kan veroorzaken. Deze extra druk vergroot de kans dat slachtoffers het gevraagde losgeld betalen.
Prioriteit geven aan gegevensdiefstal bij aanvallen
In lijn met deze verschuiving hebben ransomware-bendes zoals Lace Tempest prioriteit gegeven aan gegevensdiefstal bij hun aanvallen. Door geavanceerde aanvalstactieken te ontwikkelen, zoals het gebruik van PowerShell-commando's, de TrueBot DLL en de Cobalt Strike Beacon, zijn deze kwaadwillende actoren in staat kwetsbare systemen te infiltreren en gegevens te exfiltreren voordat ze deze versleutelen, waardoor hun kansen op een succesvolle afpersing effectief worden vergroot.
Clop Gang's geschiedenis met misbruik van kwetsbaarheden voor gegevensexfiltratie
De Clop-bende heeft een geschiedenis van het misbruiken van kwetsbaarheden voor data-exfiltratiedoeleinden. In 2020 hebben Clop-agenten bijvoorbeeld met succes Global Accellion gehackt en gegevens gestolen van ongeveer 100 bedrijven met behulp van onthulde kwetsbaarheden in de File Transfer Appliance-applicatie van het bedrijf. Meer recent maakte de Clop-bende gebruik van zero-day-kwetsbaarheden in het GoAnywhere MFT-beveiligde platform voor het delen van bestanden om gegevens van 130 bedrijven te stelen. Dit patroon van misbruik van kwetsbaarheden voor gegevensdiefstal, in combinatie met het zich steeds verder ontwikkelende ransomware-landschap, benadrukt de noodzaak voor organisaties om robuuste beveiligingsmaatregelen te nemen en up-to-date software te onderhouden om hun kritieke bedrijfsmiddelen te beschermen.