28.04.2023 | За атаками на сервера PaperCut стоят банды вымогателей Clop и LockBit |
Microsoft связывает недавние атаки на серверы PaperCut с операциями программ-вымогателей Clop и LockBit , которые использовали доступные уязвимости для кражи корпоративных данных. В прошлом месяце в программном обеспечении PaperCut были исправлены две уязвимости, которые позволяли неавторизованным злоумышленникам удалённо выполнять вредоносный код и раскрывать конфиденциальные данные. 19 апреля представители компании сообщили , что эти уязвимости, маркированные CISA как CVE-2023–27350 и CVE-2023–27351 — активно использовались реальными киберпреступниками, и призвали администраторов срочно обновить свои серверы PaperCut до последней версии. Всего несколько дней спустя был выпущен PoC- эксплойт для выявленной уязвимости удалённого выполнения кода, что позволило и другим злоумышленникам активно взламывать уязвимые серверы. Сегодня представители Microsoft Threat Intelligence сообщили в Twitter*, что за атаками на PaperCut стоят банды вымогателей Clop и LockBit, а их главная цель — кража корпоративных данных с уязвимых серверов. В серии опубликованных твитов, специалисты Microsoft заявили, что приписали недавние атаки PaperCut банде вымогателей Clop. Хакеры Clop стали особенно широко известны после того, как в 2020 году похитили данные около 100 компаний благодаря уязвимости Accellion FTA , а также кражи данных ещё 130 компаний с уязвимых серверов Fortra GoAnywhere уже в этом году. Исследователи Microsoft сообщили, что в своей последней вредоносной кампании злоумышленники использовал уязвимости PaperCut, для первоначального доступа к корпоративной сети, начиная с 13 апреля. Получив доступ к серверу, хакеры развернули вредоносное ПО TrueBot , которое также связывают с операциями по вымогательству Clop. В конце концов, злоумышленникам удалось развернуть Cobalt Strike и использовать его для горизонтального распространения по сети и кражи данных с помощью приложения для обмена файлами MegaSync . Помимо Clop, Microsoft заявляет, что некоторые вторжения привели к атакам программ-вымогателей LockBit. Однако неясно, начались ли эти атаки после того, как эксплойты были опубликованы, или ещё до этого. Исследователи Microsoft, как и сама компания PaperCut, рекомендуют всем организациям, использующим PaperCut MF или NG, немедленно выполнить обновление софта до актуальных версий, чтобы устранить активно эксплуатируемые уязвимости и избежать возможных проблем с безопасностью. * Социальная сеть запрещена на территории Российской Федерации. |
Проверить безопасность сайта