Dobësitë e PaperCut u rregulluan
PaperCut, një zgjidhje popullore e softuerit të menaxhimit të printimit, kohët e fundit u përball me dy dobësi të rëndësishme që bandat e ransomware i shfrytëzuan në mënyrë aktive. Këto dobësi tani janë rregulluar nga kompania për të eliminuar rreziqet e mundshme.
Tabela e Përmbajtjes
CVE-2023-27350: E metë e paautentikuar e ekzekutimit të kodit në distancë
Kjo dobësi ka një rezultat CVSS v3.1 prej 9.8, që tregon një nivel kritik rreziku. Gabimi i paautentikuar i ekzekutimit të kodit në distancë i lejoi sulmuesit të ekzekutonin kode arbitrare në sistemet e cenueshme pa asnjë lloj vërtetimi, duke u dhënë atyre akses të pakufizuar në të dhënat e ndjeshme dhe aftësinë për të kompromentuar rrjetet. Shtimi i shqetësimeve të mëtejshme ndaj ashpërsisë së kësaj dobësie është fakti që u publikua prova e kodit të konceptit, duke ofruar një udhëzim për më shumë kriminelë kibernetikë për ta shfrytëzuar këtë të metë lehtësisht.
CVE-2023-27351: E meta e zbulimit të informacionit të paautentikuar
Dobësia e dytë, CVE-2023-27351, ka një rezultat CVSS v3.1 prej 8.2, i cili konsiderohet me rrezik të lartë. Kjo e metë lejoi zbulimin e informacionit të paautentikuar, që do të thotë se sulmuesit mund të hynin në të dhëna të ndjeshme pa pasur nevojë për kredenciale të vlefshme. Shfrytëzimi i kësaj dobësie do t'u mundësonte kriminelëve kibernetikë të fitojnë informacion të vlefshëm dhe potencialisht ta përdorin atë për sulme të synuara më të sakta. Ndonëse nuk është aq kritike sa gabimi i ekzekutimit të kodit në distancë, kjo dobësi ende përbënte një kërcënim të konsiderueshëm për sigurinë dhe privatësinë e përdoruesve.
Dëshmia e Kodit të Konceptit u publikua
Kodi i provës së konceptit (PoC) i vënë në dispozicion të publikut rriti rreziqet që lidhen me këto dobësi. Ky kod PoC ofroi një udhërrëfyes për sulmuesit e mundshëm për të shfrytëzuar këto të meta edhe pa njohuri të gjera teknike. Lëshimi i kodit PoC është një thikë me dy tehe; ndërsa ndihmon në përhapjen e ndërgjegjësimit për të metat e sigurisë dhe ndihmon studiuesit e sigurisë të zhvillojnë arna, ai gjithashtu u siguron sulmuesve të mundshëm një plan për të kryer sulme. Arnimet e lëshuara për këto dobësi janë kritike për të garantuar sigurinë e përdoruesve të PaperCut dhe rrjeteve të tyre.
Aktorë keqdashës që shfrytëzojnë dobësitë e PaperCut
Ndërsa dobësitë e PaperCut u bënë të njohura, bandat e ndryshme të ransomware filluan shpejt t'i shfrytëzonin ato në mënyrë aktive. Midis këtyre aktorëve me qëllim të keq ishin Lace Tempest dhe LockBit ransomware, që të dy synonin serverët e pambrojtur PaperCut për të depërtuar në rrjete dhe për të vendosur ngarkesat e tyre të ransomware.
Lace Tempest (Affiliate Clop Ransomware) që synon serverët e cenueshëm
Lace Tempest, një degë e grupit të mirënjohur ransomware Clop , ishte një nga aktorët e parë keqdashës që shfrytëzoi dobësitë e PaperCut. Duke përdorur ekzekutimin e paautentikuar të kodit në distancë dhe të metat e zbulimit të informacionit, Lace Tempest arriti të komprometojë serverët e cenueshëm, duke fituar akses të pakufizuar në të dhëna dhe rrjete të ndjeshme. Pasi hyri në këto sisteme të komprometuara, Lace Tempest vendosi ransomware Clop, duke enkriptuar skedarët dhe duke kërkuar shpërblime për të lëshuar çelësat e deshifrimit.
LockBit Ransomware Strain gjithashtu synon serverët e PaperCut
LockBit , një tjetër lloj famëkeq ransomware, gjithashtu ka shfrytëzuar në mënyrë aktive dobësitë e serverit PaperCut. Ngjashëm me strategjinë e Lace Tempest, LockBit shfrytëzoi ekzekutimin e paautentikuar të kodit në distancë dhe të metat e zbulimit të informacionit për të depërtuar në sisteme të cenueshme. Me akses në të dhënat e ndjeshme dhe rrjetet e brendshme, LockBit vendosi ngarkesën e tij të ransomware, duke çuar në skedarë të koduar dhe kërkesa për shpërblim. Miratimi i shpejtë i këtyre dobësive nga aktorë me qëllim të keq si LockBit dhe Lace Tempest thekson ashpërsinë e këtyre të metave të PaperCut dhe thekson rëndësinë e korrigjimit dhe përditësimit të rregullt të softuerit për t'u mbrojtur nga kërcënimet kibernetike.
Taktikat e sulmit të stuhisë së dantellave
Lace Tempest, filiali i ransomware-it Clop, ka zhvilluar taktikat e tij unike të sulmit për të shfrytëzuar në mënyrë efektive dobësitë e serverit PaperCut. Duke përdorur metoda të sofistikuara si komandat PowerShell, lidhjet e komandës dhe kontrollit të serverit dhe Cobalt Strike Beacon, Lace Tempest ka infiltruar me sukses sistemet dhe ka dorëzuar ngarkesën e saj të ransomware.
Përdorimi i komandave PowerShell për të ofruar TrueBot DLL
Sulmet e Lace Tempest shpesh fillojnë me ekzekutimin e komandave të PowerShell, të cilat ata i përdorin për të ofruar një skedar me qëllim të keq TrueBot DLL (Biblioteka e Lidhjeve Dinamike) në sistemin e synuar. Ky skedar DLL ngarkohet më pas në sistem dhe shërben si një bllok ndërtimi për aktivitete të mëtejshme me qëllim të keq, të tilla si krijimi i lidhjeve me serverët e komandës dhe kontrollit dhe shkarkimi i komponentëve shtesë të malware.
Lidhet me një server komandimi dhe kontrolli
Pasi të jetë vendosur TrueBot DLL, malware i Lace Tempest lidhet me një server komandimi dhe kontrolli (C2). Kjo lidhje i lejon sulmuesit të dërgojnë komanda dhe të marrin të dhëna nga sistemi i komprometuar, duke lehtësuar ekfiltrimin e të dhënave dhe duke mundësuar vendosjen e komponentëve ose mjeteve shtesë të malware, siç është Cobalt Strike Beacon.
Përdorimi i Cobalt Strike Beacon për dërgimin e Ransomware
Lace Tempest shpesh përdor Cobalt Strike Beacon si pjesë të zinxhirit të sulmit. Cobalt Strike është një mjet legjitim i testimit të penetrimit, i cili përfshin një agjent pas shfrytëzimit të quajtur "Beacon". Fatkeqësisht, kriminelët kibernetikë si Lace Tempest e kanë ripërdorur këtë mjet për objektivat e tyre me qëllim të keq. Në këtë rast, ata përdorin Cobalt Strike Beacon për të ofruar ransomware Clop në sistemet e synuara. Pasi shpërblesësi të vendoset, ai kodon skedarët në sistem dhe kërkon një shpërblim për çelësat e deshifrimit, duke mbajtur efektivisht peng të dhënat e viktimave.
Zhvendosja në Operacionet Ransomware
Vitet e fundit ka pasur një ndryshim të dukshëm në operacionet e bandave të ransomware, si Clop. Në vend që të mbështeten vetëm në enkriptimin e të dhënave dhe të kërkojnë shpërblime për çelësat e deshifrimit, sulmuesit tani po i japin përparësi vjedhjes së të dhënave të ndjeshme për qëllime zhvatjeje. Ky ndryshim në taktika i ka bërë sulmet kibernetike edhe më kërcënuese, pasi aktorët me qëllim të keq tani mund të përdorin të dhënat e vjedhura për t'i detyruar viktimat të paguajnë shpërblime, edhe nëse kanë strategji të shëndosha rezervë.
Përqendrohuni në vjedhjen e të dhënave për zhvatje
Bandat e Ransomware-ve kanë kuptuar se vjedhja e të dhënave për qëllime zhvatjeje mund të sjellë rezultate më fitimprurëse sesa thjesht të mbështeten në enkriptimin për të mbajtur viktimat peng. Duke shfrytëzuar informacione të ndjeshme, sulmuesit tani mund të kërcënojnë se do të publikojnë ose shesin të dhënat e vjedhura në rrjetin e errët, duke shkaktuar potencialisht dëme të konsiderueshme financiare dhe reputacioni për organizatat. Ky presion i shtuar rrit gjasat që viktimat të paguajnë shpërblimet e kërkuara.
Prioriteti i vjedhjes së të dhënave në sulme
Në përputhje me këtë ndryshim, bandat e ransomware si Lace Tempest kanë filluar t'i japin përparësi vjedhjes së të dhënave në sulmet e tyre. Duke zhvilluar taktika të sofistikuara sulmi, të tilla si përdorimi i komandave PowerShell, TrueBot DLL dhe Cobalt Strike Beacon, këta aktorë keqdashës janë në gjendje të depërtojnë në sisteme të cenueshme dhe të nxjerrin të dhëna përpara se t'i kodojnë ato, duke rritur në mënyrë efektive shanset e tyre për një zhvatje të suksesshme.
Clop Gang's History me Shfrytëzimin e Dobësive për Eksfiltimin e të Dhënave
Banda Clop ka një histori të shfrytëzimit të dobësive për qëllime të ekfiltrimit të të dhënave. Për shembull, në vitin 2020, operativët Clop hakuar me sukses Global Accellion dhe vodhën të dhëna nga afërsisht 100 kompani duke përdorur dobësitë e zbuluara në aplikacionin File Transfer Appliance të kompanisë. Kohët e fundit, banda Clop përdori dobësitë e ditës zero në platformën e sigurt të ndarjes së skedarëve GoAnywhere MFT për të vjedhur të dhëna nga 130 kompani. Ky model i shfrytëzimit të dobësive për vjedhjen e të dhënave, i kombinuar me peizazhin gjithnjë në zhvillim të ransomware, thekson nevojën që organizatat të miratojnë masa të forta sigurie dhe të mbajnë softuer të përditësuar për të mbrojtur asetet e tyre kritike.