Il ransomware Vice Society si unisce agli attacchi PrintNightmare in corso

Il ransomware Vice Society si unisce agli attacchi PrintNightmare in corso

La banda del ransomware Vice Society sta ora sfruttando attivamente la vulnerabilità dello spooler di stampa PrintNightmare in Windows per il movimento laterale attraverso le reti delle sue vittime.

PrintNightmare è una raccolta di falle di sicurezza recentemente rivelate (tracciate come CVE-2021-1675e CVE-2021-34527e CVE-2021-36958) influisce sul servizio Spooler di stampa di Windows, sui driver di stampa di Windows e sulla funzione Point and Print di Windows.

Microsoft ha rilasciato aggiornamenti di sicurezza per risolvere i bug CVE-2021-1675 e CVE-2021-34527 a giugno, luglio e agosto e ha anche pubblicato un avviso di sicurezza questa settimana con una soluzione alternativa per CVE-2021-36958 (bug zero-a-day che consente l’escalation dei privilegi).

Gli aggressori possono abusare di questo insieme di vulnerabilità per ottenere l’escalation dei privilegi locali (LPE) o distribuire malware come amministratori di dominio Windows tramite l’esecuzione di codice remoto (RCE) con privilegi di sistema.

PrintNightmare è stato aggiunto alla Vice Society . arsenale

Recentemente, Nota i ricercatori di Cisco Talos Gli operatori di ransomware di Vice Society stanno pubblicando una libreria di collegamento dinamico (DLL) dannosa per sfruttare due difetti in PrintNightmare (CVE-2021-1675 e CVE-2021-34527).

Il ransomware Vice Society (probabilmente accidentale HelloKitty) crittografa i sistemi Windows e Linux utilizzando OpenSSL (AES256 + secp256k1 + ECDSA), come ha affermato l’esperto di ransomware Michael Gillespie Trovato a metà giugno Quando sono comparsi i primi campioni.

La banda della Vice Society si rivolge principalmente alle vittime giovani o di mezza età di attacchi di doppia estorsione gestiti da esseri umani, con particolare attenzione ai distretti scolastici pubblici e ad altre istituzioni educative.

Cisco Talos ha anche compilato un elenco di metodi, tecniche e procedure preferite dai vizi della community, inclusa l’eliminazione dei backup per impedire alle vittime di ripristinare i sistemi crittografati, aggirare la protezione di Windows per il furto di credenziali e l’escalation dei privilegi.

READ  EA svela 'F1 2021' - Nexstar Media Wire

“Sono pronti a sfruttare le nuove vulnerabilità del movimento laterale e della persistenza sulla rete della vittima”, ha affermato Cisco Talos.

“Stanno anche cercando di essere innovativi nel bypassare la risposta alla scoperta degli endpoint” e “gestendo un sito di fuga di dati, che usano per diffondere i dati trapelati dalle vittime che non scelgono di pagare le loro richieste di estorsione”.

PrintNightmare è stato attivamente sfruttato da più attori delle minacce

il contea E il ransomware Magniber utilizza anche le vulnerabilità di PrintNightmare per hackerare i server Windows senza patch.

I tentativi di Magniber di sfruttare le vulnerabilità dello spooler di stampa di Windows negli attacchi contro le vittime della Corea del Sud sono stati scoperti da Crowdstrike a metà giugno.

Rapporti sullo sfruttamento di PrintNightmare in natura [1, 2, 3] È stato che scorre lentamente dentro Da quando la vulnerabilità è stata segnalata per la prima volta e la prova del concetto è trapelata.

“Molti diversi attori delle minacce stanno ora sfruttando PrintNightmare e questa adozione continuerà probabilmente a crescere finché sarà efficace”, ha aggiunto Cisco Talos.

“L’utilizzo della vulnerabilità nota come PrintNightmare mostra che i nemici prestano molta attenzione e integreranno rapidamente nuovi strumenti che trovano utili per scopi diversi durante i loro attacchi”.

Per difendersi da questi attacchi persistenti, dovresti applicare tutte le patch PrintNightmare disponibili il più rapidamente possibile e implementare le soluzioni CVE-2021-36958 Zero-day fornite da Microsoft per rimuovere il vettore di attacco.

READ  Power Apps riceve aggiornamenti da Microsoft, inclusa la stretta integrazione di Teams

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *