ПаперЦут рањивости закрпљене
ПаперЦут, популарно софтверско решење за управљање штампањем, недавно се суочило са две значајне рањивости које су банде рансомваре-а активно искористиле. Компанија је сада закрпила ове рањивости како би елиминисала потенцијалне ризике.
Преглед садржаја
ЦВЕ-2023-27350: Грешка у извршавању даљинског кода без аутентификације
Ова рањивост има оцену ЦВСС в3.1 од 9,8, што указује на критични ниво ризика. Грешка у даљинском извршавању кода без аутентификације омогућила је нападачима да изврше произвољан код на рањивим системима без икакве врсте аутентификације, дајући им неограничен приступ осетљивим подацима и могућност да компромитују мреже. Додатна забринутост озбиљности ове рањивости је чињеница да је објављен доказни код концепта, који пружа смјерницу за више сајбер криминалаца да лако искористе ову ману.
ЦВЕ-2023-27351: Грешка у откривању информација без аутентификације
Друга рањивост, ЦВЕ-2023-27351, има оцену ЦВСС в3.1 од 8,2, што се сматра високим ризиком. Ова мана је омогућила неауторизовано откривање информација, што значи да су нападачи могли да приступе осетљивим подацима без потребе за валидним акредитивима. Искоришћавање ове рањивости омогућило би сајбер криминалцима да добију вредне информације и потенцијално их користе за прецизније циљане нападе. Иако није толико критична као грешка у даљинском извршавању кода, ова рањивост је и даље представљала значајну претњу по безбедност и приватност корисника.
Објављен код доказа о концепту
Доказ концепта (ПоЦ) код који је стављен на располагање јавности повећао је ризике повезане са овим рањивостима. Овај ПоЦ код је пружио мапу пута за потенцијалне нападаче да искористе ове недостатке чак и без опсежног техничког знања. Ослобађање ПоЦ кода је мач са две оштрице; иако помаже у ширењу свести о безбедносним пропустима и помаже истраживачима безбедности да развију закрпе, такође пружа потенцијалним нападачима план за спровођење напада. Закрпе објављене за ове рањивости су критичне да би се осигурала безбедност корисника ПаперЦута и њихових мрежа.
Злонамерни актери који искоришћавају рањивости ПаперЦут-а
Како су рањивости ПаперЦута постале познате, разне рансомваре банде су брзо почеле да их активно искориштавају. Међу овим злонамерним актерима били су сојеви рансомвера Лаце Темпест и ЛоцкБит, а оба циљају рањиве ПаперЦут сервере да би се инфилтрирали у мреже и применили њихов садржај рансомвера.
Лаце Темпест (Цлоп Рансомваре Аффилиате) циља на рањиве сервере
Лаце Темпест, филијала познате групе Цлоп рансомваре-а , била је један од првих злонамерних актера који су искористили рањивости ПаперЦут-а. Коришћењем неауторизованог даљинског извршавања кода и недостатака у откривању информација, Лаце Темпест је успео да компромитује рањиве сервере, добивши неограничен приступ осетљивим подацима и мрежама. Једном у овим компромитованим системима, Лаце Темпест је применио Цлоп рансомваре, шифровао датотеке и захтевао откупнине да би ослободио кључеве за дешифровање.
ЛоцкБит Рансомваре Соунд такође циља на ПаперЦут сервере
ЛоцкБит , још један озлоглашени сој рансомваре-а, такође активно искоришћава рањивости ПаперЦут сервера. Слично стратегији Лаце Темпест-а, ЛоцкБит је искористио недостатке у неауторизованом даљинском извршавању кода и откривању информација како би се инфилтрирао у рањиве системе. Са приступом осетљивим подацима и интерним мрежама, ЛоцкБит је применио свој терет рансомваре-а, што је довело до шифрованих датотека и захтева за откупнином. Брзо усвајање ових рањивости од стране злонамерних актера као што су ЛоцкБит и Лаце Темпест наглашава озбиљност ових ПаперЦут недостатака и наглашава важност редовног закрпања и ажурирања софтвера ради заштите од сајбер претњи.
Лаце Темпест Аттацк Тацтицс
Лаце Темпест, подружница Цлоп рансомваре-а, развила је своју јединствену тактику напада како би ефикасно искористила рањивости ПаперЦут сервера. Коришћењем софистицираних метода као што су ПоверСхелл команде, командне и контролне везе са сервером и Цобалт Стрике Беацон, Лаце Темпест се успешно инфилтрирао у системе и испоручио свој терет рансомваре-а.
Коришћење ПоверСхелл команди за испоруку ТруеБот ДЛЛ-а
Напади компаније Лаце Темпест често почињу извршавањем ПоверСхелл команди, које користе за испоруку злонамерне ТруеБот ДЛЛ (Динамиц Линк Либрари) датотеке у циљани систем. Ова ДЛЛ датотека се затим учитава у систем и служи као градивни блок за даље злонамерне активности, као што је успостављање веза са командним и контролним серверима и преузимање додатних компоненти злонамерног софтвера.
Повезује се на командни и контролни сервер
Када је ТруеБот ДЛЛ постављен, злонамерни софтвер Лаце Темпест-а се повезује са сервером за команду и контролу (Ц2). Ова веза омогућава нападачима да шаљу команде и примају податке из компромитованог система, олакшавајући ексфилтрацију података и омогућавајући примену додатних злонамерних компоненти или алата, као што је Цобалт Стрике Беацон.
Коришћење Цобалт Стрике Беацон-а за испоруку Рансомваре-а
Лаце Темпест често користи Цобалт Стрике Беацон као део свог нападачког ланца. Цобалт Стрике је легитиман алат за тестирање пенетрације, који укључује агента након експлоатације под називом „Беацон“. Нажалост, сајбер криминалци као што је Лаце Темпест су пренаменили ову алатку за своје злонамерне циљеве. У овом случају, они користе Цобалт Стрике Беацон да испоруче Цлоп рансомваре циљаним системима. Када се рансомваре примени, он шифрује датотеке на систему и захтева откупнину за кључеве за дешифровање, ефективно држећи податке жртве као таоце.
Промена у операцијама рансомвера
Последњих година дошло је до приметне промене у деловању рансомваре банди, као што је Цлоп. Уместо да се ослањају само на шифровање података и захтевају откупнину за кључеве за дешифровање, нападачи сада дају предност крађи осетљивих података у сврхе изнуде. Ова промена у тактици учинила је сајбер нападе још опаснијим, јер злонамерни актери сада могу да искористе украдене податке како би натерали жртве да плате откуп, чак и ако имају добре стратегије резервних копија.
Фокусирајте се на крађу података за изнуду
Банде рансомваре-а су схватиле да крађа података у сврху изнуде може дати уносније резултате од једноставног ослањања на шифровање да би жртве држале као таоце. Ексфилтрирањем осетљивих информација, нападачи сада могу да прете да ће објавити или продати украдене податке на мрачном вебу, потенцијално наневши значајну финансијску и репутацију организација. Овај додатни притисак повећава вероватноћу да ће жртве платити тражену откупнину.
Давање приоритета крађи података у нападима
У складу са овом променом, рансомваре банде као што је Лаце Темпест почеле су да дају предност крађи података у својим нападима. Развијањем софистицираних тактика напада као што је коришћење ПоверСхелл команди, ТруеБот ДЛЛ-а и Цобалт Стрике Беацон-а, ови злонамерни актери су у стању да се инфилтрирају у рањиве системе и ексфилтрирају податке пре него што их шифрују, ефективно повећавајући своје шансе за успешну изнуду.
Историја Цлоп Ганг-а са искоришћавањем рањивости за ексфилтрацију података
Група Клоп има историју искоришћавања рањивости у сврхе ексфилтрације података. На пример, 2020. године, Клопови оперативци су успешно хаковали Глобал Аццеллион и украли податке од приближно 100 компанија користећи откривене рањивости у апликацији Филе Трансфер Апплианце компаније. У скорије време, Цлоп банда је користила рањивости нултог дана у ГоАнивхере МФТ платформи за безбедно дељење датотека да би украла податке од 130 компанија. Овај образац искоришћавања рањивости за крађу података, у комбинацији са окружењем рансомваре-а који се стално развија, наглашава потребу да организације усвоје робусне безбедносне мере и одржавају ажуриран софтвер како би заштитиле своју критичну имовину.