Η Microsoft έχει αποδώσει τις πρόσφατες επιθέσεις σε PaperCut servers στις συμμορίες πίσω από τα Clop και LockBit ransomware. Οι hackers χρησιμοποίησαν τις ευπάθειες στους PaperCut servers για την κλοπή εταιρικών δεδομένων.
Τον περασμένο μήνα, διορθώθηκαν δύο ευπάθειες στο PaperCut Application Server. Οι ευπάθειες αυτές επέτρεπαν σε εισβολείς να εκτελούν απομακρυσμένη εκτέλεση κώδικα και αποκάλυψη πληροφοριών χωρίς έλεγχο ταυτότητας.
Οι ευπάθειες ήταν οι ακόλουθες:
- CVE-2023–27350 / ZDI-CAN-18987 / PO-1216: Ευπάθεια που επιτρέπει την εκτέλεση κώδικα απομακρυσμένα χωρίς έλεγχο ταυτότητας. Επηρεάζει τα PaperCut MF ή NG versions 8.0 ή νεότερες σε όλες τις πλατφόρμες λειτουργικού συστήματος, τόσο για application όσο και για site servers. (Βαθμολογία CVSS v3.1: 9,8 – κρίσιμη)
- CVE-2023–27351 / ZDI-CAN-19226 / PO-1219: Επιτρέπει την αποκάλυψη πληροφοριών και επηρεάζει τα PaperCut MF ή NG versions 15.0 ή νεότερες εκδόσεις σε όλες τις πλατφόρμες λειτουργικού συστήματος για application servers. (Βαθμολογία CVSS v3.1: 8,2 – υψηλή)
Δείτε επίσης: Δεύτερη ομάδα ransomware ανέφερε ότι εκμεταλλεύεται το ελάττωμα ασφαλείας GoAnywhere
Στις 19 Απριλίου, η PaperCut αποκάλυψε ότι οι δύο ευπάθειες είχαν χρησιμοποιηθεί από εγκληματίες του κυβερνοχώρου και προέτρεψε τους διαχειριστές να αναβαθμίσουν τους διακομιστές τους στην πιο πρόσφατη έκδοση.
Τα πράγματα έγιναν πιο ανησυχητικά όταν ένα PoC exploit κυκλοφόρησε λίγες μέρες αργότερα, επιτρέποντας και σε άλλους παράγοντες απειλών να παραβιάσουν τους διακομιστές χρησιμοποιώντας αυτά τα exploits.
Συμμορίες ransomware (Clop, Lockbit) πίσω από τις επιθέσεις σε PaperCut servers
Όπως είπαμε και παραπάνω, η Microsoft αποκάλυψε ότι οι συμμορίες ransomware Clop και LockBit βρίσκονται πίσω από αυτές τις “επιθέσεις PaperCut”. Στόχος τους είναι η κλοπή σημαντικών εταιρικών δεδομένων από ευάλωτους διακομιστές.
Το PaperCut είναι ένα λογισμικό διαχείρισης εκτυπώσεων, συμβατό με όλες τις μεγάλες μάρκες και πλατφόρμες εκτυπωτών. Το site της εταιρείας λέει ότι το λογισμικό χρησιμοποιείται από εκατοντάδες εκατομμύρια ανθρώπους από περισσότερες από 100 χώρες. Μεταξύ αυτών βρίσκονται μεγάλες εταιρείες, κρατικοί οργανισμοί και εκπαιδευτικά ιδρύματα.
Σε μια σειρά από tweets που δημοσιεύτηκαν το απόγευμα της Τετάρτης, η Microsoft δηλώνει ότι έχει αποδώσει τις πρόσφατες επιθέσεις PaperCut στη συμμορία ransomware Clop.
Δείτε επίσης: Σχεδόν τα τρία τέταρτα των κυβερνοεπιθέσεων περιλαμβάνουν ransomware
“Η Microsoft αποδίδει τις πρόσφατες επιθέσεις που εκμεταλλεύονται τις ευπάθειες CVE-2023-27350 και CVE-2023-27351 στο λογισμικό διαχείρισης εκτυπώσεων PaperCut στον παράγοντα απειλής που παρακολουθείται ως Lace Tempest για την παράδοση του Clop ransomware“, αναφέρει το tweet.
Η Microsoft παρακολουθεί αυτόν τον συγκεκριμένο παράγοντα απειλής ως “Lace Tempest“, η δραστηριότητα του οποίου επικαλύπτεται με τις FIN11 και TA505 που συνδέονται με τη λειτουργία ransomware Clop.
Η Microsoft λέει ότι οι επιτιθέμενοι εκμεταλλεύονται τις ευπάθειες του PaperCut από τις 13 Απριλίου για αρχική πρόσβαση σε εταιρικά δίκτυα. Μετά την πρόσβαση στον διακομιστή, οι hackers ανέπτυξαν το κακόβουλο λογισμικό TrueBot, το οποίο είχε επίσης συνδεθεί στο παρελθόν με τη λειτουργία ransomware Clop. Έπειτα, σύμφωνα με τη Microsoft, ένα Cobalt Strike beacon χρησιμοποιείται το lateral movement στο δίκτυο, ενώ γίνεται και κλοπή δεδομένων μέσω της εφαρμογής κοινής χρήσης αρχείων MegaSync.
Εκτός από το Clop, η Microsoft λέει ότι ορισμένες εισβολές έχουν οδηγήσει σε επιθέσεις που σχετίζονται με το ransomware LockBit. Ωστόσο, δεν είναι σαφές εάν αυτές οι επιθέσεις ξεκίνησαν μετά τη δημοσιοποίηση των exploits.
Η Microsoft συνιστά στους διαχειριστές να εφαρμόζουν τις διαθέσιμες ενημερώσεις κώδικα το συντομότερο δυνατό, καθώς άλλοι παράγοντες απειλών πιθανότατα θα αρχίσουν να εκμεταλλεύονται τα τρωτά σημεία.
Clop ransomware
Η εκμετάλλευση των διακομιστών PaperCut ταιριάζει με τις επιθέσεις που έχουμε δει από τη συμμορία ransomware Clop τα τελευταία τρία χρόνια. Οι συγκεκριμένοι hackers εξακολουθούν να κρυπτογραφούν αρχεία, αλλά σύμφωνα με το BleepingComputer, έχουν πει ότι προτιμούν να κλέβουν δεδομένα για να εκβιάζουν εταιρείες για να πληρώσουν λύτρα.
Δείτε επίσης: Κυκλοφόρησε SSD που ισχυρίζεται ότι έχει ενσωματωμένη πρόληψη ransomware
Σε όλους τους οργανισμούς που χρησιμοποιούν το PaperCut MF ή NG συνιστάται η αναβάθμιση στις εκδόσεις 20.1.7, 21.2.11 και 22.0.9 για να διορθώσουν τις ευπάθειες που εκμεταλλεύονται οι hackers.
Όπως είναι γνωστό, το ransomware είναι μια σημαντική απειλή τόσο για άτομα όσο και για επιχειρήσεις. Για να προστατευτείτε, είναι απαραίτητο να εφαρμόζετε βασικές πρακτικές ασφάλειας στον κυβερνοχώρο. Καθώς η τεχνολογία συνεχίζει να εξελίσσεται, είναι σημαντικό να παραμείνετε ενημερωμένοι και σε εγρήγορση για να παραμείνετε ασφαλείς από κακόβουλες επιθέσεις.
Πηγή: www.bleepingcomputer.com