Vulnerabilități PaperCut patched
PaperCut, o soluție software populară de gestionare a imprimării, s-a confruntat recent cu două vulnerabilități semnificative pe care bandele de ransomware le-au exploatat în mod activ. Aceste vulnerabilități au fost corectate acum de companie pentru a elimina riscurile potențiale.
Cuprins
CVE-2023-27350: Eroare de execuție a codului de la distanță neautentificat
Această vulnerabilitate are un scor CVSS v3.1 de 9,8, indicând un nivel critic de risc. Defectul de execuție a codului de la distanță neautentificat a permis atacatorilor să execute cod arbitrar pe sisteme vulnerabile fără niciun tip de autentificare, oferindu-le acces nerestricționat la date sensibile și capacitatea de a compromite rețelele. Adăugând și mai multe preocupări la gravitatea acestei vulnerabilități este și faptul că a fost lansat codul de dovadă a conceptului, oferind un ghid pentru mai mulți infractori cibernetici să exploateze cu ușurință această defecțiune.
CVE-2023-27351: Deficiență de divulgare a informațiilor neautentificate
A doua vulnerabilitate, CVE-2023-27351, are un scor CVSS v3.1 de 8,2, care este considerat cu risc ridicat. Acest defect a permis dezvăluirea de informații neautentificate, ceea ce înseamnă că atacatorii puteau accesa date sensibile fără a avea nevoie de acreditări valide. Exploatarea acestei vulnerabilități le-ar permite infractorilor cibernetici să obțină informații valoroase și, eventual, să le folosească pentru atacuri țintite mai precise. Deși nu este la fel de critică precum defectul de execuție a codului de la distanță, această vulnerabilitate a reprezentat totuși o amenințare considerabilă pentru securitatea și confidențialitatea utilizatorilor.
Codul de dovadă a conceptului a fost lansat
Codul proof of concept (PoC) pus la dispoziția publicului a sporit riscurile asociate cu aceste vulnerabilități. Acest cod PoC a oferit o foaie de parcurs pentru potențialii atacatori de a exploata aceste defecte chiar și fără cunoștințe tehnice extinse. Eliberarea codului PoC este o sabie cu două tăișuri; în timp ce ajută la răspândirea conștientizării cu privire la defectele de securitate și îi ajută pe cercetătorii de securitate să dezvolte patch-uri, oferă, de asemenea, potențialilor atacatori un plan pentru a conduce atacuri. Patch-urile lansate pentru aceste vulnerabilități sunt esențiale pentru a asigura securitatea utilizatorilor PaperCut și a rețelelor acestora.
Actori rău intenționați care exploatează vulnerabilitățile PaperCut
Pe măsură ce vulnerabilitățile PaperCut au devenit cunoscute, diverse grupuri de ransomware au început rapid să le exploateze în mod activ. Printre acești actori rău intenționați s-au numărat tulpinile de ransomware Lace Tempest și LockBit, ambele vizează serverele vulnerabile PaperCut pentru a se infiltra în rețele și a-și implementa încărcăturile utile de ransomware.
Lace Tempest (afiliat Clop Ransomware) care vizează servere vulnerabile
Lace Tempest, un afiliat al cunoscutului grup de ransomware Clop , a fost unul dintre primii actori rău intenționați care a exploatat vulnerabilitățile PaperCut. Folosind defectele de execuție a codului de la distanță neautentificat și dezvăluirea informațiilor, Lace Tempest a reușit să compromită serverele vulnerabile, obținând acces nerestricționat la date și rețele sensibile. Odată ajuns în aceste sisteme compromise, Lace Tempest a implementat ransomware Clop, criptând fișierele și solicitând răscumpărări pentru a elibera cheile de decriptare.
Tulpina LockBit Ransomware vizează și serverele PaperCut
LockBit , o altă tulpină notorie de ransomware, a exploatat în mod activ vulnerabilitățile serverului PaperCut. Similar cu strategia lui Lace Tempest, LockBit a exploatat defectele de execuție a codului de la distanță neautentificat și dezvăluirea informațiilor pentru a se infiltra în sistemele vulnerabile. Având acces la date sensibile și la rețelele interne, LockBit și-a implementat sarcina de ransomware, ceea ce duce la fișiere criptate și la cereri de răscumpărare. Adoptarea rapidă a acestor vulnerabilități de către actori rău intenționați, cum ar fi LockBit și Lace Tempest, evidențiază gravitatea acestor defecte PaperCut și subliniază importanța corecțiilor și actualizării regulate a software-ului pentru a proteja împotriva amenințărilor cibernetice.
Tactici de atac Lace Tempest
Lace Tempest, afiliatul ransomware Clop, și-a dezvoltat tacticile sale unice de atac pentru a exploata eficient vulnerabilitățile serverului PaperCut. Utilizând metode sofisticate, cum ar fi comenzile PowerShell, conexiunile la server de comandă și control și Cobalt Strike Beacon, Lace Tempest s-a infiltrat cu succes în sisteme și și-a livrat sarcina de ransomware.
Utilizarea comenzilor PowerShell pentru a livra TrueBot DLL
Atacurile lui Lace Tempest încep adesea cu executarea comenzilor PowerShell, pe care le folosesc pentru a livra un fișier DLL (Dynamic Link Library) TrueBot rău intenționat către sistemul vizat. Acest fișier DLL este apoi încărcat în sistem și servește ca element de bază pentru alte activități rău intenționate, cum ar fi stabilirea de conexiuni la servere de comandă și control și descărcarea de componente malware suplimentare.
Se conectează la un server de comandă și control
Odată ce DLL-ul TrueBot este instalat, malware-ul Lace Tempest se conectează la un server de comandă și control (C2). Această conexiune permite atacatorilor să trimită comenzi și să primească date din sistemul compromis, facilitând exfiltrarea datelor și permițând implementarea unor componente sau instrumente malware suplimentare, cum ar fi Cobalt Strike Beacon.
Utilizarea Cobalt Strike Beacon pentru livrarea de ransomware
Lace Tempest folosește adesea Cobalt Strike Beacon ca parte a lanțului său de atac. Cobalt Strike este un instrument legitim de testare a pătrunderii, care include un agent post-exploatare numit „Beacon”. Din păcate, infractorii cibernetici precum Lace Tempest au reutilizat acest instrument pentru obiectivele lor rău intenționate. În acest caz, ei folosesc Cobalt Strike Beacon pentru a livra ransomware Clop către sistemele vizate. Odată ce ransomware-ul este implementat, acesta criptează fișierele din sistem și solicită o răscumpărare pentru cheile de decriptare, ținând efectiv ostatice datele victimelor.
Schimbarea operațiunilor ransomware
A existat o schimbare notabilă în operațiunile bandelor de ransomware, precum Clop, în ultimii ani. În loc să se bazeze doar pe criptarea datelor și să ceară răscumpărări pentru cheile de decriptare, atacatorii acordă acum prioritate furtului de date sensibile în scopuri de extorcare. Această schimbare de tactică a făcut ca atacurile cibernetice să fie și mai amenințătoare, deoarece actorii rău intenționați pot acum să folosească datele furate pentru a forța victimele să plătească răscumpărări, chiar dacă au implementate strategii solide de rezervă.
Concentrați-vă pe furtul de date pentru extorcare
Bandele de ransomware și-au dat seama că furtul de date în scopuri de extorcare poate aduce rezultate mai profitabile decât pur și simplu bazarea pe criptare pentru a ține ostatice victimele. Prin exfiltrarea informațiilor sensibile, atacatorii pot acum amenința că vor publica sau vinde datele furate pe dark web, provocând potențial daune financiare și reputaționale semnificative organizațiilor. Această presiune suplimentară crește probabilitatea ca victimele să plătească răscumpărările cerute.
Prioritizarea furtului de date în atacuri
În conformitate cu această schimbare, bandele de ransomware precum Lace Tempest au început să acorde prioritate furtului de date în atacurile lor. Prin dezvoltarea unor tactici de atac sofisticate, cum ar fi folosirea comenzilor PowerShell, TrueBot DLL și Cobalt Strike Beacon, acești actori rău intenționați sunt capabili să se infiltreze în sistemele vulnerabile și să exfiltreze datele înainte de a le cripta, crescându-și efectiv șansele de extorcare de succes.
Istoria lui Clop Gang cu exploatarea vulnerabilităților pentru exfiltrarea datelor
Banda Clop are o istorie de exploatare a vulnerabilităților în scopuri de exfiltrare a datelor. De exemplu, în 2020, agenții Clop au spart cu succes Global Accellion și au furat date de la aproximativ 100 de companii folosind vulnerabilități dezvăluite în aplicația File Transfer Appliance a companiei. Mai recent, banda Clop a folosit vulnerabilități zero-day în platforma securizată de partajare a fișierelor GoAnywhere MFT pentru a fura date de la 130 de companii. Acest model de exploatare a vulnerabilităților pentru furtul de date, combinat cu peisajul ransomware în continuă evoluție, evidențiază nevoia organizațiilor de a adopta măsuri de securitate robuste și de a menține software-ul la zi pentru a-și proteja activele critice.