Ransomware : Vice Society Si fa Largo e Una Posizione Nella Società del Malware Iniettando Al Grido “All Your Printers Belong to Us”

_χρόνος διαβασματός : [ 2 ] minutes

 

Creatività ed il gusto del richiamo dei propri Miti sulla scena. Mai usato fottute stampanti. Un vero incubo.

BleepingComputer:

La banda del ransomware Vice Society sta ora sfruttando attivamente la vulnerabilità PrintNightmare dello spooler di stampa di Windows per il movimento laterale attraverso le reti delle vittime.

PrintNightmare è un insieme di falle di sicurezza recentemente divulgate (rilevate come CVE-2021-1675, CVE-2021-34527 e CVE-2021-36958) che interessano il servizio Spooler di stampa di Windows, i driver di stampa di Windows e Windows Point e l’opzione Print.

Microsoft ha rilasciato aggiornamenti di sicurezza per risolvere i bug CVE-2021-1675 e CVE-2021-34527 a giugno, luglio e agosto e ha anche pubblicato un avviso di sicurezza questa settimana con una soluzione alternativa per CVE-2021-36958 (un zero- bug giornaliero che consente l’escalation dei privilegi).

Gli aggressori possono abusare di questo insieme di falle di sicurezza per l’escalation dei privilegi locali (LPE) o la distribuzione di malware come amministratori di dominio Windows tramite l’esecuzione di codice remoto (RCE) con privilegi di SISTEMA.

PrintNightmare aggiunto all’arsenale di Vice Society

Recentemente, i ricercatori di Cisco Talos hanno osservato che gli operatori di ransomware della Vice Society implementano una libreria Dynamic-link (DLL) dannosa per sfruttare due difetti di PrintNightmare (CVE-2021-1675 e CVE-2021-34527).

Il ransomware Vice Society (probabilmente uno spin-off di HelloKitty) crittografa i sistemi Windows e Linux utilizzando OpenSSL (AES256 + secp256k1 + ECDSA), come ha scoperto l’esperto di ransomware Michael Gillespie a metà giugno quando sono emersi i primi campioni.

La banda della Vice Society prende di mira principalmente vittime di piccole o medie dimensioni in attacchi di doppia estorsione operati dall’uomo, con particolare attenzione ai distretti scolastici pubblici e ad altre istituzioni educative.

Scuole e campus universitari sono obiettivi primari per via della condivisione file e stampanti in reti aperte, il più delle volte.

Cisco Talos ha anche stilato un elenco delle tattiche, tecniche e procedure (TTP) preferite di Vice Society, inclusa l’eliminazione dei backup per impedire alle vittime di ripristinare i sistemi crittografati e di aggirare le protezioni di Windows per il furto di credenziali e l’escalation dei privilegi.

“Sono pronti a sfruttare le nuove vulnerabilità per il movimento laterale e la persistenza sulla rete di una vittima”, ha affermato Cisco Talos.

“Cercano anche di essere innovativi nei bypass della risposta al rilevamento degli endpoint” e “gestiscono un sito di fuga di dati, che usano per pubblicare i dati esfiltrati dalle vittime che non scelgono di pagare le loro richieste di estorsione”.

PrintNightmare attivamente sfruttato da più attori delle minacce

Anche i ransomware Conti e Magniber utilizzano gli exploit PrintNightmare per compromettere i server Windows senza patch.

I tentativi di Magniber di sfruttare le vulnerabilità dello spooler di stampa di Windows negli attacchi contro le vittime della Corea del Sud sono stati rilevati da Crowdstrike a metà giugno.

I rapporti sullo sfruttamento in the wild di PrintNightmare [1, 2, 3] si sono lentamente diffusi da quando la vulnerabilità è stata segnalata per la prima volta e sono trapelati exploit proof-of-concept.

“Molti attori di minacce distinti stanno ora sfruttando PrintNightmare e questa adozione continuerà probabilmente ad aumentare finché sarà efficace”, ha aggiunto Cisco Talos.

“L’uso della vulnerabilità nota come PrintNightmare mostra che gli avversari stanno prestando molta attenzione e incorporeranno rapidamente nuovi strumenti che trovano utili per vari scopi durante i loro attacchi”.

Per difendersi da questi attacchi in corso, è necessario applicare tutte le patch PrintNightmare disponibili il prima possibile e implementare le soluzioni alternative fornite da Microsoft per lo zero-day CVE-2021-36958 per rimuovere il vettore di attacco.

Leave a Reply