La banda del ransomware Vice Society sta ora sfruttando attivamente la vulnerabilità dello spooler di stampa PrintNightmare in Windows per il movimento laterale attraverso le reti delle sue vittime.
PrintNightmare è una raccolta di falle di sicurezza recentemente rivelate (tracciate come CVE-2021-1675e CVE-2021-34527e CVE-2021-36958) influisce sul servizio Spooler di stampa di Windows, sui driver di stampa di Windows e sulla funzione Point and Print di Windows.
Microsoft ha rilasciato aggiornamenti di sicurezza per risolvere i bug CVE-2021-1675 e CVE-2021-34527 a giugno, luglio e agosto e ha anche pubblicato un avviso di sicurezza questa settimana con una soluzione alternativa per CVE-2021-36958 (bug zero-a-day che consente l’escalation dei privilegi).
Gli aggressori possono abusare di questo insieme di vulnerabilità per ottenere l’escalation dei privilegi locali (LPE) o distribuire malware come amministratori di dominio Windows tramite l’esecuzione di codice remoto (RCE) con privilegi di sistema.
PrintNightmare è stato aggiunto alla Vice Society . arsenale
Recentemente, Nota i ricercatori di Cisco Talos Gli operatori di ransomware di Vice Society stanno pubblicando una libreria di collegamento dinamico (DLL) dannosa per sfruttare due difetti in PrintNightmare (CVE-2021-1675 e CVE-2021-34527).
Il ransomware Vice Society (probabilmente accidentale HelloKitty) crittografa i sistemi Windows e Linux utilizzando OpenSSL (AES256 + secp256k1 + ECDSA), come ha affermato l’esperto di ransomware Michael Gillespie Trovato a metà giugno Quando sono comparsi i primi campioni.
La banda della Vice Society si rivolge principalmente alle vittime giovani o di mezza età di attacchi di doppia estorsione gestiti da esseri umani, con particolare attenzione ai distretti scolastici pubblici e ad altre istituzioni educative.
Cisco Talos ha anche compilato un elenco di metodi, tecniche e procedure preferite dai vizi della community, inclusa l’eliminazione dei backup per impedire alle vittime di ripristinare i sistemi crittografati, aggirare la protezione di Windows per il furto di credenziali e l’escalation dei privilegi.
“Sono pronti a sfruttare le nuove vulnerabilità del movimento laterale e della persistenza sulla rete della vittima”, ha affermato Cisco Talos.
“Stanno anche cercando di essere innovativi nel bypassare la risposta alla scoperta degli endpoint” e “gestendo un sito di fuga di dati, che usano per diffondere i dati trapelati dalle vittime che non scelgono di pagare le loro richieste di estorsione”.
La Vice Society sta attivamente sfruttando PrintNightmare (CVE-2021-1675 / CVE-2021-34527) per diffondersi orizzontalmente tra le reti delle vittime. Sono un nuovo giocatore nello spazio ransomware. È stato osservato che lanciano grandi attacchi di caccia e doppi attacchi di ricatto https://t.co/hQqRXEMFYc
– Craig Williams (@security_craig) 12 agosto 2021
PrintNightmare è stato attivamente sfruttato da più attori delle minacce
il contea E il ransomware Magniber utilizza anche le vulnerabilità di PrintNightmare per hackerare i server Windows senza patch.
I tentativi di Magniber di sfruttare le vulnerabilità dello spooler di stampa di Windows negli attacchi contro le vittime della Corea del Sud sono stati scoperti da Crowdstrike a metà giugno.
Rapporti sullo sfruttamento di PrintNightmare in natura [1, 2, 3] È stato che scorre lentamente dentro Da quando la vulnerabilità è stata segnalata per la prima volta e la prova del concetto è trapelata.
“Molti diversi attori delle minacce stanno ora sfruttando PrintNightmare e questa adozione continuerà probabilmente a crescere finché sarà efficace”, ha aggiunto Cisco Talos.
“L’utilizzo della vulnerabilità nota come PrintNightmare mostra che i nemici prestano molta attenzione e integreranno rapidamente nuovi strumenti che trovano utili per scopi diversi durante i loro attacchi”.
Per difendersi da questi attacchi persistenti, dovresti applicare tutte le patch PrintNightmare disponibili il più rapidamente possibile e implementare le soluzioni CVE-2021-36958 Zero-day fornite da Microsoft per rimuovere il vettore di attacco.