Vulnerabilidades de PaperCut parcheadas
PaperCut, una popular solución de software de gestión de impresión, enfrentó recientemente dos vulnerabilidades importantes que las pandillas de ransomware explotaron activamente. Estas vulnerabilidades ahora han sido reparadas por la empresa para eliminar los riesgos potenciales.
Tabla de contenido
CVE-2023-27350: falla de ejecución de código remoto no autenticado
Esta vulnerabilidad tiene una puntuación CVSS v3.1 de 9,8, lo que indica un nivel de riesgo crítico. La falla de ejecución de código remoto no autenticado permitió a los atacantes ejecutar código arbitrario en sistemas vulnerables sin ningún tipo de autenticación, lo que les dio acceso sin restricciones a datos confidenciales y la capacidad de comprometer las redes. El hecho de que se lanzó un código de prueba de concepto agrega más preocupaciones a la gravedad de esta vulnerabilidad , lo que proporciona una guía para que más ciberdelincuentes aprovechen esta falla fácilmente.
CVE-2023-27351: falla de divulgación de información no autenticada
La segunda vulnerabilidad, CVE-2023-27351, tiene una puntuación CVSS v3.1 de 8,2, que se considera de alto riesgo. Esta falla permitió la divulgación de información no autenticada, lo que significa que los atacantes podrían acceder a datos confidenciales sin necesidad de credenciales válidas. La explotación de esta vulnerabilidad permitiría a los ciberdelincuentes obtener información valiosa y potencialmente usarla para ataques dirigidos más precisos. Si bien no es tan crítica como la falla de ejecución remota de código, esta vulnerabilidad aún representa una amenaza considerable para la seguridad y la privacidad de los usuarios.
Código de prueba de concepto publicado
El código de prueba de concepto (PoC) puesto a disposición del público aumentó los riesgos asociados con estas vulnerabilidades. Este código PoC proporcionó una hoja de ruta para que los posibles atacantes explotaran estas fallas incluso sin un amplio conocimiento técnico. Liberar código PoC es un arma de doble filo; Si bien ayuda a difundir la conciencia sobre las fallas de seguridad y ayuda a los investigadores de seguridad a desarrollar parches, también proporciona a los posibles atacantes un plan para realizar ataques. Los parches publicados para estas vulnerabilidades son fundamentales para garantizar la seguridad de los usuarios de PaperCut y sus redes.
Actores maliciosos que aprovechan las vulnerabilidades de PaperCut
A medida que se conocieron las vulnerabilidades de PaperCut, varias pandillas de ransomware comenzaron rápidamente a explotarlas activamente. Entre estos actores maliciosos se encontraban las cepas de ransomware Lace Tempest y LockBit, ambas dirigidas a servidores PaperCut vulnerables para infiltrarse en las redes e implementar sus cargas útiles de ransomware.
Lace Tempest (afiliado de Clop Ransomware) dirigido a servidores vulnerables
Lace Tempest, una filial del conocido grupo de ransomware Clop , fue uno de los primeros actores maliciosos en explotar las vulnerabilidades de PaperCut. Mediante el uso de fallas de divulgación de información y ejecución remota de código no autenticado, Lace Tempest logró comprometer servidores vulnerables, obteniendo acceso sin restricciones a redes y datos confidenciales. Una vez dentro de estos sistemas comprometidos, Lace Tempest implementó el ransomware Clop, encriptando archivos y exigiendo rescates para liberar las claves de descifrado.
La cepa de ransomware LockBit también se dirige a los servidores PaperCut
LockBit , otra cepa de ransomware notoria, también ha estado explotando activamente las vulnerabilidades del servidor PaperCut. Similar a la estrategia de Lace Tempest, LockBit aprovechó la ejecución remota de código no autenticado y las fallas de divulgación de información para infiltrarse en sistemas vulnerables. Con acceso a datos confidenciales y redes internas, LockBit implementó su carga útil de ransomware, lo que generó archivos cifrados y demandas de rescate. La rápida adopción de estas vulnerabilidades por parte de actores maliciosos como LockBit y Lace Tempest destaca la gravedad de estas fallas de PaperCut y enfatiza la importancia de parchear y actualizar el software regularmente para protegerse contra las amenazas cibernéticas.
Tácticas de ataque de tempestad de encaje
Lace Tempest, el afiliado del ransomware Clop, ha desarrollado sus tácticas de ataque únicas para explotar las vulnerabilidades del servidor PaperCut de manera efectiva. Mediante el empleo de métodos sofisticados como los comandos de PowerShell, las conexiones del servidor de comando y control y el Cobalt Strike Beacon, Lace Tempest se ha infiltrado con éxito en los sistemas y entregado su carga útil de ransomware.
Uso de comandos de PowerShell para entregar TrueBot DLL
Los ataques de Lace Tempest a menudo comienzan con la ejecución de comandos de PowerShell, que utilizan para entregar un archivo TrueBot DLL (Biblioteca de enlaces dinámicos) malicioso al sistema de destino. Luego, este archivo DLL se carga en el sistema y sirve como elemento básico para otras actividades maliciosas, como establecer conexiones con servidores de comando y control y descargar componentes adicionales de malware.
Se conecta a un servidor de comando y control
Una vez que la DLL de TrueBot está instalada, el malware de Lace Tempest se conecta a un servidor de comando y control (C2). Esta conexión permite a los atacantes enviar comandos y recibir datos del sistema comprometido, lo que facilita la exfiltración de datos y permite la implementación de componentes o herramientas de malware adicionales, como Cobalt Strike Beacon.
Utilización de Cobalt Strike Beacon para la entrega de ransomware
Lace Tempest a menudo usa el Cobalt Strike Beacon como parte de su cadena de ataque. Cobalt Strike es una herramienta de prueba de penetración legítima, que incluye un agente posterior a la explotación llamado "Beacon". Desafortunadamente, los ciberdelincuentes como Lace Tempest han reutilizado esta herramienta para sus objetivos maliciosos. En este caso, utilizan Cobalt Strike Beacon para enviar el ransomware Clop a los sistemas objetivo. Una vez que se implementa el ransomware, encripta los archivos en el sistema y exige un rescate por las claves de descifrado, manteniendo efectivamente como rehenes los datos de las víctimas.
Cambio en las operaciones de ransomware
Ha habido un cambio notable en las operaciones de las bandas de ransomware, como Clop, en los últimos años. En lugar de confiar únicamente en el cifrado de datos y exigir rescates por las claves de descifrado, los atacantes ahora priorizan el robo de datos confidenciales con fines de extorsión. Este cambio en las tácticas ha hecho que los ataques cibernéticos sean aún más amenazantes, ya que los actores maliciosos ahora pueden aprovechar los datos robados para obligar a las víctimas a pagar rescates, incluso si cuentan con estrategias sólidas de respaldo.
Centrarse en el robo de datos para la extorsión
Las pandillas de ransomware se han dado cuenta de que robar datos con fines de extorsión puede generar resultados más lucrativos que simplemente confiar en el cifrado para mantener a las víctimas como rehenes. Al exfiltrar información confidencial, los atacantes ahora pueden amenazar con publicar o vender los datos robados en la web oscura, lo que podría causar un daño financiero y de reputación significativo a las organizaciones. Esta presión adicional aumenta la probabilidad de que las víctimas paguen los rescates exigidos.
Priorización del robo de datos en los ataques
En línea con este cambio, bandas de ransomware como Lace Tempest han comenzado a priorizar el robo de datos en sus ataques. Al desarrollar tácticas de ataque sofisticadas, como el uso de comandos de PowerShell, TrueBot DLL y Cobalt Strike Beacon, estos actores maliciosos pueden infiltrarse en sistemas vulnerables y filtrar datos antes de cifrarlos, lo que aumenta efectivamente sus posibilidades de una extorsión exitosa.
La historia de Clop Gang con la explotación de vulnerabilidades para la filtración de datos
La pandilla Clop tiene un historial de explotación de vulnerabilidades con fines de exfiltración de datos. Por ejemplo, en 2020, los agentes de Clop piratearon con éxito Global Accellion y robaron datos de aproximadamente 100 empresas utilizando vulnerabilidades reveladas en la aplicación File Transfer Appliance de la empresa. Más recientemente, la pandilla Clop utilizó vulnerabilidades de día cero en la plataforma segura de intercambio de archivos GoAnywhere MFT para robar datos de 130 empresas. Este patrón de explotación de vulnerabilidades para el robo de datos, combinado con el panorama de ransomware en constante evolución, destaca la necesidad de que las organizaciones adopten medidas de seguridad sólidas y mantengan el software actualizado para proteger sus activos críticos.