Opravené chyby zabezpečenia PaperCut
PaperCut, populárne softvérové riešenie na správu tlače, nedávno čelilo dvom významným zraniteľnostiam, ktoré gangy ransomvéru aktívne využívali. Tieto slabé miesta teraz spoločnosť opravila, aby eliminovala potenciálne riziká.
Obsah
CVE-2023-27350: Chyba spustenia neovereného vzdialeného kódu
Táto zraniteľnosť má skóre CVSS v3.1 9,8, čo naznačuje kritickú úroveň rizika. Chyba neovereného vzdialeného spustenia kódu umožnila útočníkom spustiť ľubovoľný kód na zraniteľných systémoch bez akéhokoľvek typu autentifikácie, čo im poskytlo neobmedzený prístup k citlivým údajom a možnosť ohroziť siete. Ďalšie obavy o závažnosť tejto zraniteľnosti pridáva aj skutočnosť, že bol zverejnený koncepčný kód, ktorý poskytuje návod pre viac kyberzločincov, ako túto chybu ľahko zneužiť.
CVE-2023-27351: Chyba zverejnenia neoverených informácií
Druhá zraniteľnosť, CVE-2023-27351, má skóre CVSS v3.1 8,2, čo sa považuje za vysoko rizikové. Táto chyba umožnila zverejnenie neoverených informácií, čo znamená, že útočníci mohli získať prístup k citlivým údajom bez toho, aby potrebovali platné poverenia. Využitie tejto zraniteľnosti by umožnilo počítačovým zločincom získať cenné informácie a potenciálne ich použiť na presnejšie cielené útoky. Aj keď táto chyba zabezpečenia nie je taká kritická ako chyba spustenia kódu na diaľku, stále predstavuje značnú hrozbu pre bezpečnosť a súkromie používateľov.
Vydaný kód dôkazu konceptu
Kód proof of concept (PoC) sprístupnený verejnosti zvýšil riziká spojené s týmito zraniteľnosťami. Tento PoC kód poskytol potenciálnym útočníkom plán na využitie týchto nedostatkov aj bez rozsiahlych technických znalostí. Uvoľnenie kódu PoC je dvojsečná zbraň; zatiaľ čo pomáha pri šírení povedomia o bezpečnostných chybách a pomáha bezpečnostným výskumníkom vyvíjať záplaty, tiež poskytuje potenciálnym útočníkom plán na vykonávanie útokov. Opravy vydané pre tieto chyby zabezpečenia sú rozhodujúce pre zaistenie bezpečnosti používateľov aplikácie PaperCut a ich sietí.
Zlomyseľní herci využívajúci slabé miesta PaperCut
Keď sa zraniteľné miesta PaperCut stali známymi, rôzne ransomvérové gangy ich rýchlo začali aktívne využívať. Medzi týchto škodlivých aktérov patrili kmene ransomvéru Lace Tempest a LockBit, ktoré sa zameriavajú na zraniteľné servery PaperCut, aby infiltrovali siete a nasadili svoje užitočné zaťaženie ransomvéru.
Lace Tempest (Clop Ransomware Affiliate) so zameraním na zraniteľné servery
Lace Tempest, pridružená spoločnosť známej ransomvérovej skupiny Clop , bola jedným z prvých škodlivých aktérov, ktorí zneužili slabé miesta PaperCut. Použitím neovereného vzdialeného spustenia kódu a nedostatkov pri zverejňovaní informácií sa Lace Tempest podarilo kompromitovať zraniteľné servery a získať neobmedzený prístup k citlivým údajom a sieťam. Keď sa Lace Tempest ocitla v týchto kompromitovaných systémoch, nasadila Clop ransomware, zašifrovala súbory a požadovala výkupné za uvoľnenie dešifrovacích kľúčov.
LockBit Ransomware kmeň sa zameriava aj na servery PaperCut
LockBit , ďalší notoricky známy kmeň ransomvéru, tiež aktívne využíva zraniteľné miesta servera PaperCut. Podobne ako v stratégii Lace Tempest, LockBit využil neoverené vzdialené spustenie kódu a chyby pri zverejňovaní informácií na infiltráciu zraniteľných systémov. Vďaka prístupu k citlivým údajom a interným sieťam LockBit nasadil svoj ransomvérový náklad, čo viedlo k zašifrovaným súborom a požiadavkám na výkupné. Rýchle prijatie týchto zraniteľností záškodníckymi aktérmi, ako sú LockBit a Lace Tempest, zdôrazňuje závažnosť týchto nedostatkov PaperCut a zdôrazňuje dôležitosť pravidelnej opravy a aktualizácie softvéru na ochranu pred kybernetickými hrozbami.
Taktika útoku na čipky
Lace Tempest, pobočka Clop ransomware, vyvinula svoju jedinečnú taktiku útoku na efektívne využitie zraniteľnosti servera PaperCut. Využitím sofistikovaných metód, ako sú príkazy PowerShell, príkazové a riadiace pripojenia k serveru a Cobalt Strike Beacon, Lace Tempest úspešne infiltroval systémy a odovzdal svoj ransomvérový náklad.
Použitie príkazov PowerShell na dodanie DLL TrueBot
Útoky Lace Tempest často začínajú vykonaním príkazov PowerShell, ktoré používajú na doručenie škodlivého súboru TrueBot DLL (Dynamic Link Library) do cieľového systému. Tento súbor DLL sa potom načíta do systému a slúži ako stavebný blok pre ďalšie škodlivé činnosti, ako je vytváranie pripojení k serverom príkazov a riadenia a sťahovanie ďalších komponentov škodlivého softvéru.
Pripája sa k príkazovému a riadiacemu serveru
Keď je DLL TrueBot na svojom mieste, malvér Lace Tempest sa pripojí k serveru príkazov a riadenia (C2). Toto spojenie umožňuje útočníkom odosielať príkazy a prijímať dáta z napadnutého systému, čím uľahčuje exfiltráciu dát a umožňuje nasadenie ďalších malvérových komponentov alebo nástrojov, ako je Cobalt Strike Beacon.
Využitie Cobalt Strike Beacon na doručovanie ransomvéru
Lace Tempest často používa Cobalt Strike Beacon ako súčasť svojho útočného reťazca. Cobalt Strike je legitímny nástroj na penetračné testovanie, ktorý zahŕňa agenta po exploatácii nazývaného „Beacon“. Bohužiaľ, počítačoví zločinci, ako je Lace Tempest, zmenili účel tohto nástroja na svoje škodlivé ciele. V tomto prípade používajú Cobalt Strike Beacon na doručenie Clop ransomvéru do cieľových systémov. Po nasadení ransomvéru zašifruje súbory v systéme a požaduje výkupné za dešifrovacie kľúče, čím efektívne drží dáta obetí ako rukojemníkov.
Posun v operáciách Ransomware
V posledných rokoch došlo k výraznému posunu v operáciách ransomvérových gangov, ako je Clop. Namiesto toho, aby sa útočníci spoliehali iba na šifrovanie údajov a požadovali výkupné za dešifrovacie kľúče, uprednostňujú krádež citlivých údajov na účely vydierania. Táto zmena v taktike spôsobila, že kybernetické útoky sú ešte hrozivejšie, pretože útočníci môžu teraz využiť ukradnuté údaje, aby prinútili obete zaplatiť výkupné, aj keď majú zavedené spoľahlivé stratégie zálohovania.
Zamerajte sa na kradnutie údajov na vydieranie
Ransomvérové gangy si uvedomili, že kradnutie údajov na účely vydierania môže priniesť lukratívnejšie výsledky, než len spoliehanie sa na šifrovanie, ktoré obete drží ako rukojemníkov. Exfiltráciou citlivých informácií môžu útočníci teraz hroziť zverejnením alebo predajom ukradnutých údajov na temnom webe, čo môže organizáciám spôsobiť značné finančné škody a škody na reputácii. Tento zvýšený tlak zvyšuje pravdepodobnosť, že obete zaplatia požadované výkupné.
Uprednostňovanie krádeže dát pri útokoch
V súlade s týmto posunom začali ransomvérové gangy ako Lace Tempest pri svojich útokoch uprednostňovať krádeže dát. Vďaka vyvinutiu sofistikovanej taktiky útoku, ako je použitie príkazov PowerShell, DLL TrueBot a Cobalt Strike Beacon, sú títo záškodníci schopní infiltrovať zraniteľné systémy a exfiltrovať údaje pred ich zašifrovaním, čím efektívne zvyšujú svoje šance na úspešné vydieranie.
Clip Gang's History with Exploiting Vulnerabilities for Data Exfiltration
Gang Clop má históriu zneužívania zraniteľností na účely exfiltrácie údajov. Napríklad v roku 2020 pracovníci spoločnosti Clop úspešne hackli Global Accellion a ukradli údaje od približne 100 spoločností pomocou odhalených zraniteľností v aplikácii File Transfer Appliance spoločnosti. Nedávno gang Clop využil zraniteľnosť nultého dňa v zabezpečenej platforme na zdieľanie súborov GoAnywhere MFT na krádež údajov od 130 spoločností. Tento model využívania zraniteľností na krádež údajov v kombinácii s neustále sa vyvíjajúcim prostredím ransomvéru zdôrazňuje potrebu organizácií prijať robustné bezpečnostné opatrenia a udržiavať aktuálny softvér na ochranu svojich kritických aktív.