PaperCut-sårbarheter har korrigerats
PaperCut, en populär mjukvarulösning för utskriftshantering, stod nyligen inför två betydande sårbarheter som gäng ransomware aktivt utnyttjade. Dessa sårbarheter har nu åtgärdats av företaget för att eliminera potentiella risker.
Innehållsförteckning
CVE-2023-27350: Oautentiserad fjärrkodexekveringsfel
Denna sårbarhet har ett CVSS v3.1-poäng på 9,8, vilket indikerar en kritisk risknivå. Det oautentiserade felet vid exekvering av fjärrkod gjorde det möjligt för angripare att exekvera godtycklig kod på sårbara system utan någon typ av autentisering, vilket gav dem obegränsad tillgång till känslig data och möjligheten att äventyra nätverk. Att lägga till ytterligare oro för hur allvarlig denna sårbarhet är är det faktum att proof of concept-kod släpptes, vilket ger en riktlinje för fler cyberbrottslingar att lätt utnyttja denna brist.
CVE-2023-27351: Fel vid oautentiserad informationsutlämnande
Den andra sårbarheten, CVE-2023-27351, har ett CVSS v3.1-poäng på 8,2, vilket anses vara högrisk. Denna brist möjliggjorde oautentiserad information, vilket innebar att angripare kunde komma åt känslig data utan att behöva giltiga referenser. Att utnyttja denna sårbarhet skulle göra det möjligt för cyberbrottslingar att få värdefull information och potentiellt använda den för mer exakta riktade attacker. Även om denna sårbarhet inte är lika kritisk som felet vid exekvering av fjärrkod, utgjorde denna sårbarhet fortfarande ett avsevärt hot mot användarnas säkerhet och integritet.
Proof of Concept-kod släppt
PoC-koden (proof of concept) som gjordes tillgänglig för allmänheten ökade riskerna förknippade med dessa sårbarheter. Denna PoC-kod gav en färdplan för potentiella angripare att utnyttja dessa brister även utan omfattande teknisk kunskap. Att släppa PoC-kod är ett tveeggat svärd; samtidigt som det hjälper till att sprida medvetenhet om säkerhetsbrister och hjälper säkerhetsforskare att utveckla patchar, ger det också blivande angripare en plan för att utföra attacker. De patchar som släppts för dessa sårbarheter är avgörande för att säkerställa säkerheten för PaperCut-användare och deras nätverk.
Skadliga aktörer som utnyttjar sårbarheter i PaperCut
När PaperCut-sårbarheterna blev kända började olika ransomware -gäng snabbt aktivt utnyttja dem. Bland dessa illvilliga aktörer fanns Lace Tempest och LockBit ransomware-stammar, båda riktade mot sårbara PaperCut-servrar för att infiltrera nätverk och distribuera deras ransomware-nyttolaster.
Lace Tempest (Clop Ransomware Affiliate) riktar sig mot sårbara servrar
Lace Tempest, en filial till den välkända Clop ransomware- gruppen, var en av de första illvilliga aktörerna som utnyttjade PaperCut-sårbarheterna. Genom att använda oautentiserad fjärrkörning av kod och brister i informationsutlämnande lyckades Lace Tempest äventyra sårbara servrar och få obegränsad tillgång till känslig data och nätverk. Väl inne i dessa komprometterade system, distribuerade Lace Tempest Clop ransomware, krypterade filer och krävde lösensummor för att släppa dekrypteringsnycklarna.
LockBit Ransomware-stam riktar sig också mot PaperCut-servrar
LockBit , en annan ökända ransomware-stam, har också aktivt utnyttjat PaperCut-serverns sårbarheter. I likhet med Lace Tempests strategi, utnyttjade LockBit den oautentiserade fjärrkodexekveringen och informationsavslöjandet för att infiltrera sårbara system. Med tillgång till känslig data och interna nätverk distribuerade LockBit sin nyttolast för ransomware, vilket ledde till krypterade filer och krav på lösen. Det snabba antagandet av dessa sårbarheter av illvilliga aktörer som LockBit och Lace Tempest belyser allvaret i dessa PaperCut-brister och understryker vikten av att regelbundet patcha och uppdatera programvara för att skydda mot cyberhot.
Lace Tempest Attack Taktik
Lace Tempest, Clop ransomware affiliate, har utvecklat sin unika attacktaktik för att effektivt utnyttja PaperCut-serverns sårbarheter. Genom att använda sofistikerade metoder som PowerShell-kommandon, kommando- och kontrollserveranslutningar och Cobalt Strike Beacon har Lace Tempest framgångsrikt infiltrerat system och levererat sin ransomware-nyttolast.
Använda PowerShell-kommandon för att leverera TrueBot DLL
Lace Tempests attacker börjar ofta med exekvering av PowerShell-kommandon, som de använder för att leverera en skadlig TrueBot DLL-fil (Dynamic Link Library) till det riktade systemet. Denna DLL-fil läses sedan in i systemet och fungerar som en byggsten för ytterligare skadliga aktiviteter, som att upprätta anslutningar till kommando- och kontrollservrar och ladda ner ytterligare skadliga komponenter.
Ansluter till en kommando- och kontrollserver
När TrueBot DLL är på plats ansluter Lace Tempests skadliga program till en kommando- och kontrollserver (C2). Denna anslutning gör att angriparna kan skicka kommandon och ta emot data från det komprometterade systemet, vilket underlättar dataexfiltrering och möjliggör distribution av ytterligare skadliga komponenter eller verktyg, såsom Cobalt Strike Beacon.
Använder Cobalt Strike Beacon för leverans av ransomware
Lace Tempest använder ofta Cobalt Strike Beacon som en del av sin attackkedja. Cobalt Strike är ett legitimt verktyg för penetrationstestning, som inkluderar en agent efter exploatering som kallas "Beacon". Tyvärr har cyberkriminella som Lace Tempest återanvänt detta verktyg för sina skadliga syften. I det här fallet använder de Cobalt Strike Beacon för att leverera Clop ransomware till de riktade systemen. När ransomwaren väl är utplacerad krypterar den filer på systemet och kräver en lösensumma för dekrypteringsnycklar, vilket effektivt håller offrens data som gisslan.
Skift i Ransomware Operations
Det har skett en märkbar förändring i verksamheten för ransomware-gäng, som Clop, de senaste åren. Istället för att enbart förlita sig på kryptering av data och kräva lösensummor för dekrypteringsnycklar, prioriterar angripare nu att stjäla känslig data i utpressningssyfte. Denna taktikförändring har gjort cyberattacker ännu mer hotfulla, eftersom illvilliga aktörer nu kan utnyttja stulna data för att tvinga offer att betala lösensummor, även om de har sunda backupstrategier på plats.
Fokusera på att stjäla data för utpressning
Ransomware-gäng har insett att att stjäla data i utpressningssyfte kan ge mer lukrativa resultat än att bara förlita sig på kryptering för att hålla offren som gisslan. Genom att exfiltrera känslig information kan angripare nu hota att publicera eller sälja stulna data på den mörka webben, vilket potentiellt kan orsaka betydande ekonomisk skada och anseende för organisationer. Detta ökade tryck ökar sannolikheten för att offren betalar de begärda lösensummorna.
Prioritering av datastöld vid attacker
I linje med denna förändring har gäng som ransomware som Lace Tempest börjat prioritera datastöld i sina attacker. Genom att utveckla sofistikerade attacktaktiker som att använda PowerShell-kommandon, TrueBot DLL och Cobalt Strike Beacon, kan dessa illvilliga aktörer infiltrera sårbara system och exfiltrera data innan de krypteras, vilket effektivt ökar deras chanser till en framgångsrik utpressning.
Clop Gangs historia med att utnyttja sårbarheter för dataexfiltrering
Clop-gänget har en historia av att utnyttja sårbarheter för dataexfiltreringsändamål. Till exempel, 2020, hackade Clop-operatörer framgångsrikt Global Accellion och stal data från cirka 100 företag genom att använda avslöjade sårbarheter i företagets File Transfer Appliance-applikation. På senare tid använde Clop-gänget nolldagars sårbarheter i GoAnywhere MFTs säkra fildelningsplattform för att stjäla data från 130 företag. Detta mönster av att utnyttja sårbarheter för datastöld, i kombination med det ständigt föränderliga ransomware-landskapet, belyser behovet för organisationer att vidta robusta säkerhetsåtgärder och upprätthålla uppdaterad programvara för att skydda sina kritiska tillgångar.