As Vulnerabilidades do PaperCut Foram Corrigidas
O PaperCut, uma popular solução de software de gerenciamento de impressão, enfrentou recentemente duas vulnerabilidades significativas que as gangues de ransomware exploraram ativamente. Essas vulnerabilidades já foram corrigidas pela empresa para eliminar riscos em potencial.
Índice
CVE-2023-27350: Falha na Execução de Código Remoto não Autenticado
Esta vulnerabilidade tem uma pontuação CVSS v3.1 de 9,8, indicando um nível de risco crítico. A falha de execução remota de código não autenticado permitiu que invasores executassem código arbitrário em sistemas vulneráveis sem qualquer tipo de autenticação, dando a eles acesso irrestrito a dados confidenciais e a capacidade de comprometer redes. Adicionando mais preocupações à gravidade dessa vulnerabilidade, está o fato de que o código de prova de conceito foi lançado, fornecendo uma diretriz para que mais cibercriminosos explorem essa falha facilmente.
CVE-2023-27351: Falha na Divulgação de Informações não Autenticadas
A segunda vulnerabilidade, CVE-2023-27351, tem uma pontuação CVSS v3.1 de 8,2, considerada de alto risco. Essa falha permitiu a divulgação de informações não autenticadas, o que significa que os invasores podem acessar dados confidenciais sem precisar de credenciais válidas. A exploração dessa vulnerabilidade permitiria aos cibercriminosos obter informações valiosas e potencialmente usá-las para ataques direcionados mais precisos. Embora não seja tão crítica quanto a falha de execução remota de código, essa vulnerabilidade ainda representa uma ameaça considerável à segurança e privacidade dos usuários.
Código de Prova de Conceito Lançado
O Código de Prova de Conceito (PoC) disponibilizado ao público aumentou os riscos associados a essas vulnerabilidades. Esse código PoC forneceu um roteiro para possíveis invasores explorarem essas falhas, mesmo sem amplo conhecimento técnico. A liberação do código PoC é uma faca de dois gumes; embora ajude a divulgar as falhas de segurança e ajude os pesquisadores de segurança a desenvolver correções, também fornece aos possíveis invasores um plano para conduzir ataques. As correções lançadas para essas vulnerabilidades são críticos para garantir a segurança dos usuários do PaperCut e suas redes.
Autores Mal-Intencionados estão Explorando as Vulnerabilidades do PaperCut
À medida em que as vulnerabilidades do PaperCut se tornaram conhecidas, várias gangues de ransomware rapidamente começaram a explorá-las ativamente. Entre esses agentes maliciosos estavam variantes do Lace Tempest Ransomware e do LockBit, ambas visando os servidores do PaperCut vulneráveis para se infiltrar em redes e implantar suas cargas úteis de ransomware.
O Lace Tempest (Afiliado ao Clop Ransomware) Tem como Alvo Servidores Vulneráveis
O Lace Tempest, um afiliado do conhecido grupo do Clop Ransomware, foi um dos primeiros agentes mal-intencionados a explorar as vulnerabilidades do PaperCut. Ao usar a execução remota de código não autenticado e as falhas de divulgação de informações, o Lace Tempest conseguiu comprometer servidores vulneráveis, obtendo acesso irrestrito a dados e redes confidenciais. Uma vez dentro desses sistemas comprometidos, o Lace Tempest implantou o Clop Ransomware, criptografando arquivos e exigindo resgates para liberar as chaves de descriptografia.
Variantes do LockBit Ransomware Também Visam os Servidoresdo PaperCut
O LockBit, outro notório tipo de ransomware, também tem explorado ativamente as vulnerabilidades do servidor PaperCut. Semelhante à estratégia do Lace Tempest, o LockBit explorou a execução remota de código não autenticado e as falhas de divulgação de informações para se infiltrar em sistemas vulneráveis. Com acesso a dados confidenciais e redes internas, a LockBit implantou sua carga útil de ransomware, levando a arquivos criptografados e demandas de resgate. A rápida adoção dessas vulnerabilidades por agentes mal-intencionados, como LockBit e Lace Tempest, destaca a gravidade dessas falhas do PaperCut e enfatiza a importância de corrigir e atualizar regularmente o software para proteção contra ameaças cibernéticas.
Táticas de Ataque do Lace Tempest
O Lace Tempest, um afiliado do Clop Ransomware, desenvolveu suas táticas de ataque exclusivas para explorar as vulnerabilidades do servidor PaperCut de forma eficaz. Ao empregar métodos sofisticados, como comandos do PowerShell, conexões de servidor de Comando e Controle e o Cobalt Strike Beacon, o Lace Tempest se infiltrou com sucesso nos sistemas e entregou sua carga útil de ransomware.
Usando Comandos do PowerShell para Entregar o TrueBot DLL
Os ataques do Lace Tempest geralmente começam com a execução de comandos do PowerShell, que eles usam para entregar um arquivo malicioso do TrueBot DLL (Dynamic Link Library) no sistema visado. Esse arquivo DLL é carregado no sistema e serve como um bloco de construção para outras atividades maliciosas, tais como estabelecer conexões com servidores de comando e controle e baixar componentes de malware adicionais.
Ele Se Conecta a um Servidor de Comando e Controle
Depois que o TrueBot DLL está instalado, o malware do Lace Tempest se conecta a um servidor de Comando e Controle (C2). Essa conexão permite que os invasores enviem comandos e recebam dados do sistema comprometido, facilitando a exfiltração de dados e permitindo a implantação de componentes ou ferramentas adicionais de malware, tal como o Cobalt Strike Beacon.
Utilizando o Cobalt Strike Beacon para a Entrega de Ransomware
O Lace Tempest costuma usar o Cobalt Strike Beacon como parte de sua cadeia de ataque. O Cobalt Strike é uma ferramenta de teste de penetração legítima, que inclui um agente pós-exploração chamado "Beacon". Infelizmente, cibercriminosos como os. do Lace Tempest reaproveitaram essa ferramenta para seus objetivos maliciosos. Nesse caso, eles usam o Cobalt Strike Beacon para entregar Clop Ransomwarnos sistemas visados. Depois que o ransomware é implantado, ele criptografa os arquivos no sistema e exige um resgate pelas chaves de descriptografia, mantendo os dados das vítimas como reféns.
Mudança nas Operações de Ransomware
Houve uma mudança perceptível nas operações das gangues de ransomware como Clop, nos últimos anos. Em vez de confiar apenas na criptografia de dados e exigir resgates pela chaves de descriptografia, os invasores agora priorizam o roubo de dados confidenciais para fins de extorsão. Essa mudança de tática tornou os ataques cibernéticos ainda mais ameaçadores, pois os agentes mal-intencionados agora podem aproveitar os dados roubados para forçar as vítimas a pagar resgates, mesmo que tenham estratégias de backup sólidas.
Eles Se Concentram em Roubar Dados para Extorsão
As gangues de ransomware perceberam que roubar dados para fins de extorsão pode gerar resultados mais lucrativos do que simplesmente confiar na criptografia para manter as vítimas como reféns. Ao exfiltrar informações confidenciais, os invasores agora podem ameaçar publicar ou vender os dados roubados na Dark Web, podendo causar danos financeiros e de reputação significativos às organizações. Essa pressão adicional aumenta a probabilidade de as vítimas pagarem os resgates exigidos.
Priorizando o Roubo de Dados nos Ataques
De acordo com essa mudança, as gangues de ransomware como a do Lace Tempest começaram a priorizar o roubo de dados em seus ataques. Ao desenvolver táticas de ataque sofisticadas, tais como o uso de comandos PowerShell, o TrueBot DLL e o Cobalt Strike Beacon, esses agentes mal-intencionados são capazes de se infiltrar em sistemas vulneráveis e exfiltrar dados antes de criptografá-los, aumentando efetivamente suas chances de uma extorsão bem-sucedida.
A História da Gang do Clop sobre a Exploração de Vulnerabilidades para a Exfiltração de Dados
A gangue do Clop tem um histórico de exploração de vulnerabilidades para fins de exfiltração de dados. Por exemplo, em 2020, os agentes do Clop invadiram com sucesso a Global Accellion e roubaram dados de aproximadamente 100 empresas usando vulnerabilidades divulgadas no aplicativo File Transfer Appliance da empresa. Mais recentemente, a gangue do Clop utilizou vulnerabilidades de dia zero na plataforma segura de compartilhamento de arquivos GoAnywhere MFT para roubar dados de 130 empresas. Esse padrão de exploração de vulnerabilidades para roubo de dados, combinado com o cenário de ransomware em constante evolução, destaca a necessidade de as organizações adotarem medidas de segurança robustas e manterem software atualizado para proteger seus ativos críticos.