ΑρχικήsecurityΤο νέο ransomware Cerber στοχεύει servers Confluence και GitLab

Το νέο ransomware Cerber στοχεύει servers Confluence και GitLab

Το Cerber ransomware επιστρέφει, καθώς μια νέα οικογένεια ransomware υιοθετεί το παλιό όνομα και στοχεύει τους servers Atlassian Confluence και GitLab χρησιμοποιώντας τρωτά σημεία απομακρυσμένης εκτέλεσης κώδικα.

Δείτε επίσης: Το Emotet εγκαθιστά το Cobalt Strike σε συσκευές επιτρέποντας πιο γρήγορη μόλυνση με ransomware

Καθώς το ransomware “άρχισε να επιταχύνει” το 2016, εμφανίστηκε μια νέα επιχείρηση ransomware Cerber που με γρήγορους ρυθμούς εκείνη την εποχή έγινε μια από τις πιο παραγωγικές συμμορίες. Ωστόσο, η δραστηριότητά του μειώθηκε σιγά σιγά έως ότου εξαφανίστηκε στα τέλη του 2019.

Τον περασμένο μήνα, ένα ransomware που και αυτό ονομάζεται Cerber έκανε την εμφάνιση του, και άρχισε να μολύνει θύματα σε όλο τον κόσμο με encryptor Windows και Linux.

Η νέα έκδοση του Cerber δημιουργεί σημειώσεις λύτρων με το όνομα __$$RECOVERY_README$$__.html και προσαρτά την επέκταση .locked σε κρυπτογραφημένα αρχεία.

Η νέα συμμορία ransomware Cerber φαίνεται να απαιτεί λύτρα που κυμαίνονται από $1.000 έως $3.000.

ransomware Cerber

Ο CTO της Emsisoft και ειδικός ransomware Fabian Wosar εξέτασε τη νέα παραλλαγή και είπε ότι δεν ταιριάζει με τον κώδικα της παλαιότερης οικογένειας ransomware. Συγκεκριμένα, η νέα έκδοση χρησιμοποιεί τη βιβλιοθήκη Crypto+++, ενώ η παλαιότερη παραλλαγή χρησιμοποιούσε βιβλιοθήκες CryptoAPI των Windows.

Αυτές οι διαφορές στον κώδικα και το γεγονός ότι το αρχικό Cerber δεν είχε παραλλαγή Linux μας κάνουν να πιστεύουμε ότι ένας νέος απειλητικός παράγοντας έχει υιοθετήσει το όνομα, το σημείωμα λύτρων και τον ιστότοπο πληρωμής Tor και δεν είναι η αρχική επιχείρηση.

Δείτε επίσης: Ξενοδοχεία της Nordic Choice χτυπήθηκαν από το Conti ransomware

Στόχευση των servers Confluence και GitLab

Αυτή την εβδομάδα, ερευνητές ασφάλειας και πωλητές είδαν τους νέους operation hacking servers ransomware Cerber που χρησιμοποιούν τρωτά σημεία απομακρυσμένης εκτέλεσης κώδικα στο Atlassian Confluence και στο GitLab.

Ο ερευνητής ασφαλείας BoanBird μοιράστηκε ένα δείγμα του νέου ransomware Cerber με το BleepingComputer το οποίο δείχνει ότι αυτό το νέο στέλεχος στοχεύει συγκεκριμένα τους φακέλους Atlassian Confluence που αναφέρονται παρακάτω.

Το BoanBird κοινοποίησε και ένα link προς τα φόρουμ του GitLab όπου οι διαχειριστές αποκάλυψαν ότι το Cerber εκμεταλλεύεται μια ευπάθεια που αποκαλύφθηκε πρόσφατα στο ExifTool component του GitLab.

ransomware Cerber

Αυτές οι ευπάθειες αναφέρονται ως CVE-2021-26084 (Confluence) και CVE-2021-22205 (GitLab) και μπορούν να χρησιμοποιηθούν εξ αποστάσεως χωρίς έλεγχο ταυτοποίησης. Επιπλέον, και τα δύο τρωτά σημεία έχουν αποκαλύψει δημόσια proof-of-concept (PoC) exploits, επιτρέποντας στους εισβολείς να παραβιάζουν εύκολα τους servers.

Μια έκθεση που δημοσιεύθηκε αυτή την εβδομάδα από ερευνητές της Tencent δείχνει ότι οι επιθέσεις που αναπτύσσουν το νέο ransomware Cerber στοχεύουν κυρίως τις Ηνωμένες Πολιτείες, τη Γερμανία και την Κίνα.

Δείτε επίσης: Planned Parenthood LA: Ransomware επίθεση οδήγησε σε παραβίαση δεδομένων ασθενών

Αυτή τη στιγμή, η καλύτερη προσέγγιση για προστασία από το Cerber θα ήταν η εφαρμογή των διαθέσιμων ενημερώσεων ασφαλείας για το Atlassian Confluence και το GitLab.

Πηγή πληροφοριών: bleepingcomputer.com

Teo Ehc
Teo Ehchttps://www.secnews.gr
Be the limited edition.

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS