Ransomware: Сега нападателите експлоатират уязвимостите на Windows PrintNightmare

Киберпрестъпниците експлоатират уязвимостите на Windows PrintNightmare в опитите си да заразят жертвите с ransomware – а броят на групите ransomware, които се опитват да се възползват от мрежи без пакети, вероятно ще се увеличи.

Уязвимости при отдалечено изпълнение на код (CVE-2021-34527 и CVE-2021-1675) в Windows Print Spooler – услуга, разрешена по подразбиране във всички клиенти на Windows и използвана за копиране на данни между устройства за управление на задания за печат – позволява на нападателите да изпълняват произволен код, което им позволява да инсталират програми, да променят, променят и изтриват данни, да създават нови акаунти с пълни потребителски права и се движат странично по мрежите.

Сега бандите за ransomware се възползват от PrintNightmare, за да компрометират мрежи, да криптират файлове и сървъри и да изискват плащане от жертвите за ключ за декриптиране.

ВИЖ: Печеливша стратегия за киберсигурност (Специален доклад на ZDNet)

Едно от тях е Vice Society, сравнително нов играч в пространството за ransomware, което се появи за първи път през юни и провежда практически, управлявани от хора кампании срещу цели. Известно е, че Vice Society бързо използва новите уязвимости в сигурността, за да подпомогне атаките срещу ransomware и според изследователите на киберсигурността от Cisco Talos, те са добавили PrintNightmare към своя арсенал от инструменти за компрометиране на мрежи.

Подобно на много кибер-престъпни групи за ransomware, Vice Society използва атаки с двойно изнудване, краде данни от жертви и заплашва да ги публикува, ако откупът не бъде платен. Според Cisco Talos, групата е фокусирана предимно върху малки и средни жертви, по -специално училища и други образователни институции.

Повсеместният характер на системите на Windows в тези среди означава, че Vice Society може да използва уязвимости на PrintNightmare, ако не са били приложени корекции, за изпълнение на код, поддържане на постоянство в мрежите и доставяне на ransomware.

„Използването на уязвимостта, известна като PrintNightmare, показва, че противниците обръщат голямо внимание и бързо ще включат нови инструменти, които намират за полезни за различни цели по време на техните атаки“, изследователи от Cisco Talos написа в публикация в блога.

„Множество отделни участници в заплахата сега се възползват от PrintNightmare и това приемане вероятно ще продължи да се увеличава, докато е ефективно“.

Друга група от ransomware, която активно използва уязвимостите на PrintNightmare, е Magniber. Тази операция срещу ransomware е активна и въвежда нови функции и методи за атака от 2017 г. Magniber първоначално използва злонамерено рекламиране за разпространение на атаки, преди да премине към използване на неизправени уязвимости в сигурността в софтуера, включително Internet Explorer и Flash. По -голямата част от кампаниите на Magniber са насочени към Южна Корея.

Сега, според изследователи на киберсигурността от Crowdstrike, Magniber ransomware използва PrintNightmare в кампании, отново демонстрирайки как бандите за ransomware и други киберпрестъпни групи се опитват да се възползват от новооткритите уязвимости, за да подпомогнат атаките, преди мрежовите оператори да са приложили пластира.

ВИЖ: Тази нова фишинг атака е „по -коварна от обикновено“, предупреждава Microsoft

Вероятно други групи за ransomware и злонамерени хакерски кампании ще се опитат да използват PrintNightmare, така че най -добрата форма на защита срещу уязвимостта е да се гарантира, че системите ще бъдат закърпени възможно най -скоро.

“CrowdStrike изчислява, че уязвимостта на PrintNightmare, съчетана с внедряването на ransomware, вероятно ще продължи да се използва от други участници в заплахата”, каза Ливиу Арсен, директор по изследване на заплахите и докладване в Crowdstrike.

„Насърчаваме организациите винаги да прилагат най -новите корекции и актуализации на защитата, за да смекчат известните уязвимости и да се придържат към най -добрите практики за сигурност, за да укрепят позицията си за сигурност срещу заплахи и сложни противници“, добави той.

ПОВЕЧЕ ЗА СИГУРНОСТ

Публикациите се превеждат автоматично с google translate

Източник: www.zdnet.com