Na-patch ang Mga Kahinaan sa PaperCut
Ang PaperCut, isang tanyag na solusyon sa pamamahala ng pag-print, kamakailan ay nahaharap sa dalawang makabuluhang kahinaan na aktibong pinagsamantalahan ng mga gang ng ransomware. Ang mga kahinaan na ito ay na-patch na ngayon ng kumpanya upang maalis ang mga potensyal na panganib.
Talaan ng mga Nilalaman
CVE-2023-27350: Hindi Na-authenticate na Depekto sa Pagpapatupad ng Remote Code
Ang kahinaan na ito ay may CVSS v3.1 na marka na 9.8, na nagpapahiwatig ng isang kritikal na antas ng panganib. Ang hindi na-authenticated na remote code execution flaw ay nagbigay-daan sa mga attacker na magsagawa ng arbitrary code sa mga vulnerable system nang walang anumang uri ng authentication, na nagbibigay sa kanila ng walang limitasyong access sa sensitibong data at ng kakayahang ikompromiso ang mga network. Ang pagdaragdag ng higit pang mga alalahanin sa kalubhaan ng kahinaang ito ay ang katunayan na ang patunay ng code ng konsepto ay inilabas, na nagbibigay ng isang patnubay para sa higit pang mga cybercriminal na madaling samantalahin ang kapintasan na ito.
CVE-2023-27351: Di-Authenticated na Kapintasan sa Pagbubunyag ng Impormasyon
Ang pangalawang kahinaan, CVE-2023-27351, ay may CVSS v3.1 na marka na 8.2, na itinuturing na mataas ang panganib. Ang kapintasan na ito ay nagbigay-daan sa hindi napatotohanang pagsisiwalat ng impormasyon, ibig sabihin, maaaring ma-access ng mga umaatake ang sensitibong data nang hindi nangangailangan ng mga wastong kredensyal. Ang pagsasamantala sa kahinaang ito ay magbibigay-daan sa mga cybercriminal na makakuha ng mahalagang impormasyon at potensyal na gamitin ito para sa mas tumpak na mga naka-target na pag-atake. Bagama't hindi kasing kritikal ng depekto sa pagpapatupad ng remote code, ang kahinaang ito ay nagdulot pa rin ng malaking banta sa seguridad at privacy ng mga user.
Patunay ng Concept Code na Inilabas
Ang proof of concept (PoC) code na ginawang available sa publiko ay nagpapataas ng mga panganib na nauugnay sa mga kahinaang ito. Ang PoC code na ito ay nagbigay ng roadmap para sa mga potensyal na umaatake upang samantalahin ang mga bahid na ito kahit na walang malawak na teknikal na kaalaman. Ang paglabas ng PoC code ay isang tabak na may dalawang talim; habang nakakatulong ito sa pagpapalaganap ng kamalayan tungkol sa mga bahid ng seguridad at tinutulungan ang mga mananaliksik ng seguridad na bumuo ng mga patch, nagbibigay din ito sa mga magiging umaatake ng blueprint upang magsagawa ng mga pag-atake. Ang mga patch na inilabas para sa mga kahinaang ito ay kritikal upang matiyak ang seguridad ng mga gumagamit ng PaperCut at kanilang mga network.
Mga Nakakahamak na Aktor na Nagsasamantala sa Mga Kahinaan sa PaperCut
Habang nalaman ang mga kahinaan ng PaperCut, ang iba't ibang ransomware gang ay mabilis na nagsimulang aktibong pagsasamantala sa kanila. Kabilang sa mga malisyosong aktor na ito ang mga strain ng Lace Tempest at LockBit ransomware, na parehong nagta-target sa mga mahihinang server ng PaperCut upang makalusot sa mga network at i-deploy ang kanilang mga ransomware payload.
Lace Tempest (Clop Ransomware Affiliate) na Nagta-target ng Mga Mahihinang Server
Ang Lace Tempest, isang kaakibat ng kilalang Clop ransomware group, ay isa sa mga unang malisyosong aktor na nagsamantala sa mga kahinaan ng PaperCut. Sa pamamagitan ng paggamit ng hindi napatunayang remote code execution at mga depekto sa pagsisiwalat ng impormasyon, nagawa ng Lace Tempest na ikompromiso ang mga mahihinang server, na nakakuha ng walang limitasyong pag-access sa sensitibong data at mga network. Sa sandaling nasa loob na ng mga nakompromisong system na ito, ang Lace Tempest ay nag-deploy ng Clop ransomware, nag-e-encrypt ng mga file at humihingi ng mga ransom upang mailabas ang mga decryption key.
Ang LockBit Ransomware Strain ay Nagta-target din ng mga PaperCut Server
Ang LockBit , isa pang kilalang ransomware strain, ay aktibong nagsasamantala sa mga kahinaan ng server ng PaperCut. Katulad ng diskarte ng Lace Tempest, sinamantala ng LockBit ang hindi napatotohanan na pagpapatupad ng malayuang code at mga kapintasan sa pagbubunyag ng impormasyon upang makalusot sa mga masusugatan na sistema. Sa pamamagitan ng access sa sensitibong data at mga panloob na network, inilagay ng LockBit ang ransomware payload nito, na humahantong sa mga naka-encrypt na file at mga hinihingi ng ransom. Ang mabilis na paggamit sa mga kahinaang ito ng mga malisyosong aktor tulad ng LockBit at Lace Tempest ay nagtatampok sa kalubhaan ng mga bahid ng PaperCut na ito at binibigyang-diin ang kahalagahan ng regular na pag-patch at pag-update ng software upang maprotektahan laban sa mga banta sa cyber.
Mga Taktika sa Pag-atake ng Lace Tempest
Ang Lace Tempest, ang Clop ransomware affiliate, ay nakabuo ng mga natatanging taktika sa pag-atake upang epektibong samantalahin ang mga kahinaan ng server ng PaperCut. Sa pamamagitan ng paggamit ng mga sopistikadong pamamaraan tulad ng mga utos ng PowerShell, command at kontrol na mga koneksyon sa server, at ang Cobalt Strike Beacon, matagumpay na napasok ng Lace Tempest ang mga system at naihatid ang ransomware payload nito.
Paggamit ng PowerShell Commands para Maghatid ng TrueBot DLL
Ang mga pag-atake ng Lace Tempest ay kadalasang nagsisimula sa pagpapatupad ng mga PowerShell command, na ginagamit nila upang maghatid ng malisyosong TrueBot DLL (Dynamic Link Library) na file sa target na system. Ang DLL file na ito ay na-load sa system, at nagsisilbing isang bloke ng gusali para sa karagdagang mga nakakahamak na aktibidad, tulad ng pagtatatag ng mga koneksyon sa pag-utos at pagkontrol sa mga server at pag-download ng mga karagdagang bahagi ng malware.
Kumokonekta sa isang Command at Control Server
Kapag ang TrueBot DLL ay nasa lugar na, ang malware ng Lace Tempest ay kumokonekta sa isang command at control (C2) server. Ang koneksyon na ito ay nagbibigay-daan sa mga umaatake na magpadala ng mga utos at tumanggap ng data mula sa nakompromisong system, na pinapadali ang pag-exfiltrate ng data at pinapagana ang pag-deploy ng mga karagdagang bahagi o tool ng malware, gaya ng Cobalt Strike Beacon.
Paggamit ng Cobalt Strike Beacon para sa Paghahatid ng Ransomware
Madalas na ginagamit ng Lace Tempest ang Cobalt Strike Beacon bilang bahagi ng attack chain nito. Ang Cobalt Strike ay isang lehitimong tool sa pagsubok ng penetration, na kinabibilangan ng isang post-exploitation agent na tinatawag na "Beacon." Sa kasamaang palad, muling ginamit ng mga cybercriminal tulad ng Lace Tempest ang tool na ito para sa kanilang mga malisyosong layunin. Sa kasong ito, ginagamit nila ang Cobalt Strike Beacon para maghatid ng Clop ransomware sa mga naka-target na system. Kapag na-deploy na ang ransomware, ine-encrypt nito ang mga file sa system at humihingi ng ransom para sa mga decryption key, na epektibong hinahawakan ang data ng mga biktima.
Paglipat sa Ransomware Operations
Nagkaroon ng kapansin-pansing pagbabago sa mga operasyon ng mga ransomware gang, tulad ng Clop, sa mga nakaraang taon. Sa halip na umasa lamang sa pag-encrypt ng data at paghingi ng mga ransom para sa mga decryption key, inuuna na ngayon ng mga attacker ang pagnanakaw ng sensitibong data para sa mga layunin ng pangingikil. Ang pagbabagong ito sa mga taktika ay nagdulot ng higit na pagbabanta sa mga cyberattack, dahil maaari na ngayong gamitin ng mga malisyosong aktor ang ninakaw na data upang pilitin ang mga biktima na magbayad ng mga ransom, kahit na mayroon silang mahusay na mga diskarte sa pag-backup.
Tumutok sa Pagnanakaw ng Data para sa Pangingikil
Napagtanto ng mga ransomware gang na ang pagnanakaw ng data para sa mga layunin ng pangingikil ay maaaring magbunga ng higit na kapaki-pakinabang na mga resulta kaysa sa pag-asa lamang sa pag-encrypt upang i-hostage ang mga biktima. Sa pamamagitan ng pag-exfiltrate ng sensitibong impormasyon, maaari na ngayong magbanta ang mga umaatake na i-publish o ibenta ang ninakaw na data sa dark web, na posibleng magdulot ng malaking pinsala sa pananalapi at reputasyon sa mga organisasyon. Ang dagdag na presyur na ito ay nagpapataas ng posibilidad na mabayaran ng mga biktima ang hinihinging ransom.
Pag-priyoridad sa Pagnanakaw ng Data sa Mga Pag-atake
Alinsunod sa pagbabagong ito, sinimulan ng mga ransomware gang tulad ng Lace Tempest na unahin ang pagnanakaw ng data sa kanilang mga pag-atake. Sa pamamagitan ng pagbuo ng mga sopistikadong taktika sa pag-atake gaya ng paggamit ng mga utos ng PowerShell, TrueBot DLL, at Cobalt Strike Beacon, nagagawa ng mga malisyosong aktor na ito na makalusot sa mga bulnerableng system at mag-exfiltrate ng data bago ito i-encrypt, na epektibong pinapataas ang kanilang pagkakataon ng matagumpay na pangingikil.
Clop Gang's History with Exploiting Vulnerabilities for Data Exfiltration
Ang Clop gang ay may kasaysayan ng pagsasamantala sa mga kahinaan para sa mga layunin ng data exfiltration. Halimbawa, noong 2020, matagumpay na na-hack ng mga operatiba ng Clop ang Global Accelion at nagnakaw ng data mula sa humigit-kumulang 100 kumpanya gamit ang mga nabunyag na kahinaan sa application ng File Transfer Appliance ng kumpanya. Kamakailan lamang, ginamit ng Clop gang ang mga zero-day na kahinaan sa GoAnywhere MFT na secure na platform ng pagbabahagi ng file upang magnakaw ng data mula sa 130 kumpanya. Ang pattern na ito ng pagsasamantala sa mga kahinaan para sa pagnanakaw ng data, kasama ang patuloy na umuusbong na ransomware landscape, ay nagpapakita ng pangangailangan para sa mga organisasyon na magpatibay ng mga matatag na hakbang sa seguridad at mapanatili ang up-to-date na software upang maprotektahan ang kanilang mga kritikal na asset.