Ransomware : Vice Society Si fa Largo e Una Posizione Nella Società del Malware Iniettando Al Grido “All Your Printers Belong to Us”
Creatività ed il gusto del richiamo dei propri Miti sulla scena. Mai usato fottute stampanti. Un vero incubo.
La banda del ransomware Vice Society sta ora sfruttando attivamente la vulnerabilità PrintNightmare dello spooler di stampa di Windows per il movimento laterale attraverso le reti delle vittime.
PrintNightmare è un insieme di falle di sicurezza recentemente divulgate (rilevate come CVE-2021-1675, CVE-2021-34527 e CVE-2021-36958) che interessano il servizio Spooler di stampa di Windows, i driver di stampa di Windows e Windows Point e l’opzione Print.
Microsoft ha rilasciato aggiornamenti di sicurezza per risolvere i bug CVE-2021-1675 e CVE-2021-34527 a giugno, luglio e agosto e ha anche pubblicato un avviso di sicurezza questa settimana con una soluzione alternativa per CVE-2021-36958 (un zero- bug giornaliero che consente l’escalation dei privilegi).
Gli aggressori possono abusare di questo insieme di falle di sicurezza per l’escalation dei privilegi locali (LPE) o la distribuzione di malware come amministratori di dominio Windows tramite l’esecuzione di codice remoto (RCE) con privilegi di SISTEMA.
PrintNightmare aggiunto all’arsenale di Vice Society
Recentemente, i ricercatori di Cisco Talos hanno osservato che gli operatori di ransomware della Vice Society implementano una libreria Dynamic-link (DLL) dannosa per sfruttare due difetti di PrintNightmare (CVE-2021-1675 e CVE-2021-34527).
Il ransomware Vice Society (probabilmente uno spin-off di HelloKitty) crittografa i sistemi Windows e Linux utilizzando OpenSSL (AES256 + secp256k1 + ECDSA), come ha scoperto l’esperto di ransomware Michael Gillespie a metà giugno quando sono emersi i primi campioni.
La banda della Vice Society prende di mira principalmente vittime di piccole o medie dimensioni in attacchi di doppia estorsione operati dall’uomo, con particolare attenzione ai distretti scolastici pubblici e ad altre istituzioni educative.
Scuole e campus universitari sono obiettivi primari per via della condivisione file e stampanti in reti aperte, il più delle volte.
Vice Society is actively exploiting PrintNightmare (CVE-2021-1675 / CVE-2021-34527) to spread laterally across victim networks. They are a new player in the ransomware space. They have been observed launching big-game hunting and double-extortion attacks https://t.co/hQqRXEMFYc
— Craig Williams (@security_craig) August 12, 2021
Cisco Talos ha anche stilato un elenco delle tattiche, tecniche e procedure (TTP) preferite di Vice Society, inclusa l’eliminazione dei backup per impedire alle vittime di ripristinare i sistemi crittografati e di aggirare le protezioni di Windows per il furto di credenziali e l’escalation dei privilegi.
“Sono pronti a sfruttare le nuove vulnerabilità per il movimento laterale e la persistenza sulla rete di una vittima”, ha affermato Cisco Talos.
“Cercano anche di essere innovativi nei bypass della risposta al rilevamento degli endpoint” e “gestiscono un sito di fuga di dati, che usano per pubblicare i dati esfiltrati dalle vittime che non scelgono di pagare le loro richieste di estorsione”.
PrintNightmare attivamente sfruttato da più attori delle minacce
Anche i ransomware Conti e Magniber utilizzano gli exploit PrintNightmare per compromettere i server Windows senza patch.
I tentativi di Magniber di sfruttare le vulnerabilità dello spooler di stampa di Windows negli attacchi contro le vittime della Corea del Sud sono stati rilevati da Crowdstrike a metà giugno.
I rapporti sullo sfruttamento in the wild di PrintNightmare [1, 2, 3] si sono lentamente diffusi da quando la vulnerabilità è stata segnalata per la prima volta e sono trapelati exploit proof-of-concept.
“Molti attori di minacce distinti stanno ora sfruttando PrintNightmare e questa adozione continuerà probabilmente ad aumentare finché sarà efficace”, ha aggiunto Cisco Talos.
“L’uso della vulnerabilità nota come PrintNightmare mostra che gli avversari stanno prestando molta attenzione e incorporeranno rapidamente nuovi strumenti che trovano utili per vari scopi durante i loro attacchi”.
Per difendersi da questi attacchi in corso, è necessario applicare tutte le patch PrintNightmare disponibili il prima possibile e implementare le soluzioni alternative fornite da Microsoft per lo zero-day CVE-2021-36958 per rimuovere il vettore di attacco.
