Se ha detectado que grupos ciberdelincuentes, incluidos Vice Society y Magniber, utilizan vulnerabilidades en Windows Print Spooler para infectar a las víctimas con ransomware.
Los ciberdelincuentes están explotando las vulnerabilidades de Windows PrintNightmare en sus intentos de infectar a las víctimas con ransomware, y es probable que aumente la cantidad de grupos de ransomware que intentan aprovechar las redes sin parches.
Las vulnerabilidades de ejecución remota de código ( CVE-2021-34527 y CVE-2021-1675 ) en Windows Print Spooler , un servicio habilitado de forma predeterminada en todos los clientes de Windows y utilizado para copiar datos entre dispositivos para administrar trabajos de impresión, permiten a los atacantes ejecutar código arbitrario. , lo que les permite instalar programas, modificar, cambiar y eliminar datos, crear nuevas cuentas con derechos de usuario completos y moverse lateralmente por las redes.
Ahora, las bandas de ransomware se están aprovechando de PrintNightmare para comprometer redes, cifrar archivos y servidores y exigir el pago a las víctimas por una clave de descifrado.
Uno de ellos es Vice Society, un jugador relativamente nuevo en el espacio del ransomware que apareció por primera vez en junio y lleva a cabo campañas prácticas operadas por humanos contra objetivos . Se sabe que Vice Society se apresura a explotar nuevas vulnerabilidades de seguridad para ayudar a los ataques de ransomware y, según los investigadores de ciberseguridad de Cisco Talos, han agregado PrintNightmare a su arsenal de herramientas para comprometer redes.
Al igual que muchos grupos de ransomware ciberdelincuentes, Vice Society utiliza ataques de doble extorsión , robando datos de las víctimas y amenazando con publicarlos si no se paga el rescate. Según Cisco Talos, el grupo se ha centrado principalmente en víctimas pequeñas y medianas, especialmente escuelas y otras instituciones educativas .
La naturaleza ubicua de los sistemas Windows en estos entornos significa que Vice Society puede utilizar las vulnerabilidades de PrintNightmare si no se han aplicado parches, para ejecutar código, mantener la persistencia en las redes y entregar ransomware.
“El uso de la vulnerabilidad conocida como PrintNightmare muestra que los adversarios están prestando mucha atención e incorporarán rápidamente nuevas herramientas que encontrarán útiles para varios propósitos durante sus ataques”, escribieron los investigadores de Cisco Talos en una publicación de blog .
“Múltiples actores de amenazas distintos se están aprovechando de PrintNightmare, y es probable que esta adopción continúe aumentando mientras sea efectiva”.
Otro grupo de ransomware que explota activamente las vulnerabilidades de PrintNightmare es Magniber . Esta operación de ransomware ha estado activa e introduciendo nuevas funciones y métodos de ataque desde 2017. Magniber inicialmente usó publicidad maliciosa para propagar ataques, antes de pasar a aprovechar las vulnerabilidades de seguridad no parcheadas en software que incluyen Internet Explorer y Flash. La mayoría de las campañas de Magniber se dirigen a Corea del Sur.
Ahora, según los investigadores de ciberseguridad de Crowdstrike , Magniber ransomware está utilizando PrintNightmare en campañas, demostrando nuevamente cómo las bandas de ransomware y otros grupos ciberdelincuentes intentan aprovechar las vulnerabilidades recientemente reveladas para ayudar a los ataques antes de que los operadores de red hayan aplicado el parche.
Es probable que otros grupos de ransomware y campañas de piratería maliciosa busquen explotar PrintNightmare, por lo que la mejor forma de defensa contra la vulnerabilidad es asegurarse de que los sistemas estén parcheados lo antes posible.
“CrowdStrike estima que la vulnerabilidad PrintNightmare junto con el despliegue de ransomware probablemente continuará siendo explotada por otros actores de amenazas”, dijo Liviu Arsene, director de investigación e informes de amenazas de Crowdstrike.
“Alentamos a las organizaciones a aplicar siempre los últimos parches y actualizaciones de seguridad para mitigar las vulnerabilidades conocidas y adherirse a las mejores prácticas de seguridad para fortalecer su postura de seguridad contra amenazas y adversarios sofisticados”, agregó.
Tomado y traducido de: www.zdnet.com