Luki w PaperCut zostały załatane
PaperCut, popularne oprogramowanie do zarządzania drukiem, napotkało ostatnio dwie znaczące luki w zabezpieczeniach, które aktywnie wykorzystywały gangi ransomware. Luki te zostały teraz załatane przez firmę w celu wyeliminowania potencjalnych zagrożeń.
Spis treści
CVE-2023-27350: Błąd polegający na zdalnym wykonaniu nieuwierzytelnionego kodu
Ta luka ma ocenę CVSS v3.1 9,8, co wskazuje na krytyczny poziom ryzyka. Luka polegająca na nieuwierzytelnionym zdalnym wykonaniu kodu umożliwiła atakującym wykonanie dowolnego kodu w podatnych na ataki systemach bez jakiegokolwiek uwierzytelnienia, dając im nieograniczony dostęp do poufnych danych i możliwość włamania się do sieci. Dodatkowe obawy co do powagi tej luki wynikają z faktu, że opublikowano kod weryfikacji koncepcji, który zawiera wytyczne dla większej liczby cyberprzestępców, jak łatwo wykorzystać tę lukę.
CVE-2023-27351: Błąd związany z ujawnieniem nieuwierzytelnionych informacji
Druga luka, CVE-2023-27351, ma wynik CVSS v3.1 na poziomie 8,2, co jest uważane za wysokie ryzyko. Ta luka umożliwiła ujawnienie nieuwierzytelnionych informacji, co oznacza, że osoby atakujące mogły uzyskać dostęp do poufnych danych bez konieczności posiadania ważnych poświadczeń. Wykorzystanie tej luki pozwoliłoby cyberprzestępcom zdobyć cenne informacje i potencjalnie wykorzystać je do bardziej precyzyjnych ataków ukierunkowanych. Chociaż luka ta nie jest tak krytyczna jak luka w zdalnym wykonaniu kodu, nadal stanowi poważne zagrożenie dla bezpieczeństwa i prywatności użytkowników.
Wydano kod weryfikacji koncepcji
Publicznie udostępniony kod weryfikacji koncepcji (PoC) zwiększył ryzyko związane z tymi lukami w zabezpieczeniach. Ten kod PoC zawierał mapę drogową dla potencjalnych atakujących, aby wykorzystać te luki nawet bez rozległej wiedzy technicznej. Wydanie kodu PoC to miecz obosieczny; chociaż pomaga w szerzeniu świadomości na temat luk w zabezpieczeniach i pomaga badaczom bezpieczeństwa w opracowywaniu poprawek, zapewnia również potencjalnym atakującym plan przeprowadzania ataków. Łaty wydane dla tych luk mają kluczowe znaczenie dla zapewnienia bezpieczeństwa użytkowników PaperCut i ich sieci.
Złośliwi aktorzy wykorzystujący luki w zabezpieczeniach PaperCut
Gdy ujawniono luki PaperCut, różne gangi ransomware szybko zaczęły je aktywnie wykorzystywać. Wśród tych złośliwych aktorów były szczepy oprogramowania ransomware Lace Tempest i LockBit, które atakowały podatne na ataki serwery PaperCut w celu infiltracji sieci i wdrażania ich ładunków ransomware.
Lace Tempest (podmiot stowarzyszony Clop Ransomware) atakuje serwery podatne na ataki
Lace Tempest, członek dobrze znanej grupy ransomware Clop , był jednym z pierwszych złośliwych aktorów, którzy wykorzystali luki PaperCut. Wykorzystując luki w nieuwierzytelnionym zdalnym wykonywaniu kodu i ujawnianiu informacji, Lace Tempest zdołała złamać zabezpieczenia wrażliwych serwerów, uzyskując nieograniczony dostęp do wrażliwych danych i sieci. Po wejściu do tych zainfekowanych systemów Lace Tempest wdrożyła ransomware Clop, szyfrując pliki i żądając okupu za uwolnienie kluczy deszyfrujących.
LockBit Ransomware atakuje również serwery PaperCut
LockBit , kolejny znany szczep ransomware, również aktywnie wykorzystuje luki w zabezpieczeniach serwera PaperCut. Podobnie jak w przypadku strategii Lace Tempest, LockBit wykorzystywał luki w nieuwierzytelnionym zdalnym wykonywaniu kodu i ujawnianiu informacji w celu infiltracji wrażliwych systemów. Mając dostęp do poufnych danych i sieci wewnętrznych, LockBit wdrożył swój ładunek ransomware, co doprowadziło do zaszyfrowania plików i żądań okupu. Szybkie przyjęcie tych luk przez złośliwe podmioty, takie jak LockBit i Lace Tempest, podkreśla wagę tych luk PaperCut i podkreśla znaczenie regularnego łatania i aktualizowania oprogramowania w celu ochrony przed cyberzagrożeniami.
Koronkowa Taktyka Ataku Burzy
Lace Tempest, partner ransomware Clop, opracował swoją unikalną taktykę ataku, aby skutecznie wykorzystać luki w zabezpieczeniach serwera PaperCut. Wykorzystując wyrafinowane metody, takie jak polecenia PowerShell, połączenia z serwerem dowodzenia i kontroli oraz Cobalt Strike Beacon, Lace Tempest z powodzeniem infiltrował systemy i dostarczał swój ładunek ransomware.
Używanie poleceń PowerShell do dostarczania TrueBot DLL
Ataki Lace Tempest często rozpoczynają się od wykonania poleceń PowerShell, których używają do dostarczenia złośliwego pliku TrueBot DLL (Dynamic Link Library) do atakowanego systemu. Ten plik DLL jest następnie ładowany do systemu i służy jako budulec dla dalszych złośliwych działań, takich jak nawiązywanie połączeń z serwerami dowodzenia i kontroli oraz pobieranie dodatkowych składników złośliwego oprogramowania.
Łączy się z serwerem dowodzenia i kontroli
Po zainstalowaniu biblioteki DLL TrueBot złośliwe oprogramowanie Lace Tempest łączy się z serwerem dowodzenia i kontroli (C2). To połączenie umożliwia atakującym wysyłanie poleceń i odbieranie danych z zaatakowanego systemu, ułatwiając eksfiltrację danych i umożliwiając wdrożenie dodatkowych komponentów lub narzędzi złośliwego oprogramowania, takich jak Cobalt Strike Beacon.
Wykorzystanie Cobalt Strike Beacon do dostarczania ransomware
Lace Tempest często używa Cobalt Strike Beacon jako części swojego łańcucha ataków. Cobalt Strike to legalne narzędzie do testowania penetracji, które obejmuje agenta poeksploatacyjnego o nazwie „Beacon”. Niestety, cyberprzestępcy, tacy jak Lace Tempest, zmienili przeznaczenie tego narzędzia do swoich złośliwych celów. W tym przypadku używają Cobalt Strike Beacon, aby dostarczyć ransomware Clop do atakowanych systemów. Po wdrożeniu ransomware szyfruje pliki w systemie i żąda okupu za klucze odszyfrowywania, skutecznie przetrzymując dane ofiar jako zakładników.
Zmiana w operacjach ransomware
W ostatnich latach nastąpiła zauważalna zmiana w działaniach gangów ransomware, takich jak Clop. Zamiast polegać wyłącznie na szyfrowaniu danych i żądaniu okupu za klucze odszyfrowywania, atakujący traktują teraz priorytetowo kradzież poufnych danych w celu wyłudzenia. Ta zmiana taktyki sprawiła, że cyberataki stały się jeszcze bardziej groźne, ponieważ złośliwi aktorzy mogą teraz wykorzystać skradzione dane, aby zmusić ofiary do zapłacenia okupu, nawet jeśli dysponują solidnymi strategiami tworzenia kopii zapasowych.
Skoncentruj się na kradzieży danych w celu wymuszenia
Gangi ransomware zdały sobie sprawę, że kradzież danych w celu wymuszenia może przynieść bardziej lukratywne wyniki niż zwykłe poleganie na szyfrowaniu w celu przetrzymywania ofiar jako zakładników. Eksfiltrując poufne informacje, osoby atakujące mogą teraz grozić opublikowaniem lub sprzedażą skradzionych danych w ciemnej sieci, potencjalnie powodując znaczne szkody finansowe i reputacyjne organizacji. Ta dodatkowa presja zwiększa prawdopodobieństwo, że ofiary zapłacą żądany okup.
Priorytetowe traktowanie kradzieży danych w atakach
Zgodnie z tą zmianą gangi ransomware, takie jak Lace Tempest, zaczęły traktować priorytetowo kradzież danych w swoich atakach. Opracowując wyrafinowane taktyki ataków, takie jak używanie poleceń PowerShell, TrueBot DLL i Cobalt Strike Beacon, ci złośliwi aktorzy są w stanie infiltrować wrażliwe systemy i eksfiltrować dane przed ich zaszyfrowaniem, skutecznie zwiększając swoje szanse na udane wymuszenie.
Historia Clop Gang z wykorzystaniem luk w zabezpieczeniach do eksfiltracji danych
Gang Clop od dawna wykorzystuje luki w zabezpieczeniach do eksfiltracji danych. Na przykład w 2020 r. agenci Clop z powodzeniem zhakowali Global Accellion i ukradli dane z około 100 firm, wykorzystując ujawnione luki w firmowej aplikacji File Transfer Appliance. Niedawno gang Clop wykorzystał luki dnia zerowego w bezpiecznej platformie udostępniania plików GoAnywhere MFT do kradzieży danych ze 130 firm. Ten wzorzec wykorzystywania luk w zabezpieczeniach do kradzieży danych, w połączeniu z ciągle ewoluującym oprogramowaniem ransomware, podkreśla potrzebę przyjęcia przez organizacje solidnych środków bezpieczeństwa i utrzymywania aktualnego oprogramowania w celu ochrony ich krytycznych zasobów.