Vulnérabilités de PaperCut corrigées
PaperCut, une solution logicielle de gestion d'impression populaire, a récemment été confrontée à deux vulnérabilités importantes que les gangs de rançongiciels ont activement exploitées. Ces vulnérabilités ont maintenant été corrigées par l'entreprise pour éliminer les risques potentiels.
Table des matières
CVE-2023-27350 : Faille d'exécution de code à distance non authentifiée
Cette vulnérabilité a un score CVSS v3.1 de 9,8, indiquant un niveau de risque critique. La faille d'exécution de code à distance non authentifiée permettait aux attaquants d'exécuter du code arbitraire sur des systèmes vulnérables sans aucun type d'authentification, leur donnant un accès illimité aux données sensibles et la possibilité de compromettre les réseaux. Le fait qu'un code de preuve de concept a été publié, fournissant une ligne directrice permettant à davantage de cybercriminels d'exploiter facilement cette faille, ajoute d'autres préoccupations à la gravité de cette vulnérabilité .
CVE-2023-27351 : faille de divulgation d'informations non authentifiées
La deuxième vulnérabilité, CVE-2023-27351, a un score CVSS v3.1 de 8,2, ce qui est considéré comme un risque élevé. Cette faille permettait la divulgation d'informations non authentifiées, ce qui signifie que les attaquants pouvaient accéder à des données sensibles sans avoir besoin d'informations d'identification valides. L'exploitation de cette vulnérabilité permettrait aux cybercriminels d'obtenir des informations précieuses et éventuellement de les utiliser pour des attaques ciblées plus précises. Bien qu'elle ne soit pas aussi critique que la faille d'exécution de code à distance, cette vulnérabilité constituait toujours une menace considérable pour la sécurité et la confidentialité des utilisateurs.
Publication du code de preuve de concept
Le code de preuve de concept (PoC) mis à la disposition du public a accru les risques associés à ces vulnérabilités. Ce code PoC a fourni une feuille de route aux attaquants potentiels pour exploiter ces failles même sans connaissances techniques approfondies. La publication du code PoC est une arme à double tranchant ; Bien qu'il aide à sensibiliser aux failles de sécurité et aide les chercheurs en sécurité à développer des correctifs, il fournit également aux attaquants potentiels un plan pour mener des attaques. Les correctifs publiés pour ces vulnérabilités sont essentiels pour assurer la sécurité des utilisateurs de PaperCut et de leurs réseaux.
Acteurs malveillants exploitant les vulnérabilités de PaperCut
Au fur et à mesure que les vulnérabilités de PaperCut sont devenues connues, divers gangs de rançongiciels ont rapidement commencé à les exploiter activement. Parmi ces acteurs malveillants figuraient les souches de ransomware Lace Tempest et LockBit, ciblant toutes deux les serveurs PaperCut vulnérables pour infiltrer les réseaux et déployer leurs charges utiles de ransomware.
Lace Tempest (filiale de Clop Ransomware) ciblant les serveurs vulnérables
Lace Tempest, une filiale du célèbre groupe de rançongiciels Clop , a été l'un des premiers acteurs malveillants à exploiter les vulnérabilités de PaperCut. En utilisant les failles d'exécution de code à distance non authentifiées et de divulgation d'informations, Lace Tempest a réussi à compromettre les serveurs vulnérables, obtenant un accès illimité aux données et réseaux sensibles. Une fois à l'intérieur de ces systèmes compromis, Lace Tempest a déployé le rançongiciel Clop, cryptant les fichiers et exigeant des rançons pour libérer les clés de décryptage.
La souche LockBit Ransomware cible également les serveurs PaperCut
LockBit , une autre souche notoire de ransomware, exploite également activement les vulnérabilités du serveur PaperCut. Semblable à la stratégie de Lace Tempest, LockBit a exploité les failles d'exécution de code à distance non authentifiées et de divulgation d'informations pour infiltrer les systèmes vulnérables. Avec un accès aux données sensibles et aux réseaux internes, LockBit a déployé sa charge utile de ransomware, entraînant des fichiers cryptés et des demandes de rançon. L'adoption rapide de ces vulnérabilités par des acteurs malveillants tels que LockBit et Lace Tempest met en évidence la gravité de ces failles PaperCut et souligne l'importance de corriger et de mettre à jour régulièrement les logiciels pour se protéger contre les cybermenaces.
Tactiques d'attaque de tempête de dentelle
Lace Tempest, la filiale du rançongiciel Clop, a développé ses tactiques d'attaque uniques pour exploiter efficacement les vulnérabilités du serveur PaperCut. En utilisant des méthodes sophistiquées telles que les commandes PowerShell, les connexions au serveur de commande et de contrôle et le Cobalt Strike Beacon, Lace Tempest a réussi à infiltrer les systèmes et à livrer sa charge utile de ransomware.
Utilisation des commandes PowerShell pour fournir la DLL TrueBot
Les attaques de Lace Tempest commencent souvent par l'exécution de commandes PowerShell, qu'ils utilisent pour fournir un fichier TrueBot DLL (Dynamic Link Library) malveillant au système ciblé. Ce fichier DLL est ensuite chargé sur le système et sert de bloc de construction pour d'autres activités malveillantes, telles que l'établissement de connexions aux serveurs de commande et de contrôle et le téléchargement de composants de logiciels malveillants supplémentaires.
Se connecte à un serveur de commande et de contrôle
Une fois la DLL TrueBot en place, le logiciel malveillant de Lace Tempest se connecte à un serveur de commande et de contrôle (C2). Cette connexion permet aux attaquants d'envoyer des commandes et de recevoir des données du système compromis, facilitant l'exfiltration de données et permettant le déploiement de composants ou d'outils malveillants supplémentaires, tels que Cobalt Strike Beacon.
Utilisation de Cobalt Strike Beacon pour la livraison de ransomwares
Lace Tempest utilise souvent le Cobalt Strike Beacon dans le cadre de sa chaîne d'attaque. Cobalt Strike est un outil de test d'intrusion légitime, qui comprend un agent de post-exploitation appelé "Beacon". Malheureusement, des cybercriminels comme Lace Tempest ont réutilisé cet outil pour leurs objectifs malveillants. Dans ce cas, ils utilisent le Cobalt Strike Beacon pour fournir le rançongiciel Clop aux systèmes ciblés. Une fois le ransomware déployé, il crypte les fichiers sur le système et demande une rançon pour les clés de décryptage, retenant efficacement les données des victimes en otage.
Changement dans les opérations de ransomware
Il y a eu un changement notable dans les opérations des gangs de rançongiciels, tels que Clop, ces dernières années. Au lieu de compter uniquement sur le chiffrement des données et d'exiger des rançons pour les clés de déchiffrement, les attaquants donnent désormais la priorité au vol de données sensibles à des fins d'extorsion. Ce changement de tactique a rendu les cyberattaques encore plus menaçantes, car les acteurs malveillants peuvent désormais exploiter les données volées pour forcer les victimes à payer des rançons, même si elles ont mis en place de solides stratégies de sauvegarde.
Focus sur le vol de données à des fins d'extorsion
Les gangs de rançongiciels ont réalisé que le vol de données à des fins d'extorsion peut donner des résultats plus lucratifs que de simplement compter sur le cryptage pour retenir les victimes en otage. En exfiltrant des informations sensibles, les attaquants peuvent désormais menacer de publier ou de vendre les données volées sur le dark web, causant potentiellement des dommages financiers et de réputation importants aux organisations. Cette pression supplémentaire augmente la probabilité que les victimes paient les rançons demandées.
Donner la priorité au vol de données dans les attaques
Conformément à ce changement, les gangs de rançongiciels comme Lace Tempest ont commencé à donner la priorité au vol de données dans leurs attaques. En développant des tactiques d'attaque sophistiquées telles que l'utilisation de commandes PowerShell, de la DLL TrueBot et de la balise Cobalt Strike, ces acteurs malveillants sont capables d'infiltrer les systèmes vulnérables et d'exfiltrer les données avant de les chiffrer, augmentant ainsi leurs chances de succès.
L'histoire de Clop Gang avec l'exploitation des vulnérabilités pour l'exfiltration de données
Le gang Clop a l'habitude d'exploiter des vulnérabilités à des fins d'exfiltration de données. Par exemple, en 2020, les agents de Clop ont piraté avec succès Global Accellion et volé des données à environ 100 entreprises en utilisant les vulnérabilités divulguées dans l'application File Transfer Appliance de l'entreprise. Plus récemment, le gang Clop a utilisé les vulnérabilités zero-day de la plate-forme de partage de fichiers sécurisée GoAnywhere MFT pour voler les données de 130 entreprises. Ce modèle d'exploitation des vulnérabilités pour le vol de données, combiné au paysage en constante évolution des ransomwares, souligne la nécessité pour les organisations d'adopter des mesures de sécurité robustes et de maintenir des logiciels à jour pour protéger leurs actifs critiques.