Οι hackers που επιδίδονται σε ransomware επιθέσεις έχουν προσθέσει PrintNightmare exploits στο οπλοστάσιό τους και στοχεύουν Windows servers για την ανάπτυξη Magniber ransomware payloads.
Το PrintNightmare είναι μια κατηγορία τρωτών σημείων ασφαλείας (παρακολουθείται ως CVE-2021-1675, CVE-2021-34527 και CVE-2021-36958) που επηρεάζει την υπηρεσία Windows Print Spooler, τα Windows print drivers και τα Windows Point και Print features.
Η Microsoft κυκλοφόρησε ενημερώσεις ασφαλείας για τα CVE-2021-1675 και CVE-2021-34527 τον Ιούνιο, τον Ιούλιο και τον Αύγουστο.
Επίσης, την Τετάρτη κυκλοφόρησε ένα security advisory παρέχοντας λύση για το CVE-2021-36958 (zero-day bug που επιτρέπει κλιμάκωση προνομίων, χωρίς διαθέσιμο ενημερωμένο κώδικα).
Οι hackers μπορούν να χρησιμοποιήσουν αυτά τα ελαττώματα ασφαλείας για local privilege escalation (LPE) ή να διανείμουν κακόβουλο λογισμικό ως Windows domain admins μέσω απομακρυσμένης εκτέλεσης κώδικα (RCE) με SYSTEM privileges.
Το Ransomware χρησιμοποιεί PrintNightmare exploits
Όπως ανακάλυψαν ερευνητές της Crowdstrike τον περασμένο μήνα, οι hackers που επιτίθενται με Magniber ransomware χρησιμοποιούν PrintNightmare exploits σε επιθέσεις εναντίον θυμάτων της Νότιας Κορέας.
Μετά την παραβίαση διακομιστών που δεν έχουν δεχτεί κατάλληλο patch για το PrintNightmare, το Magniber ρίχνει έναν DLL loader, ο οποίος αρχικά εγχέεται σε μια διαδικασία και αργότερα αποσυσκευάζεται για την εκτέλεση τοπικού αρχείου και κρυπτογράφηση αρχείων στη συσκευή που έχει παραβιαστεί.
Στις αρχές Φεβρουαρίου 2021, η Crowdstrike παρατήρησε ότι το Magniber παραδίδεται μέσω του Magnitude EK σε συσκευές της Νότιας Κορέας που εκτελούν Internet Explorer που δεν έχουν γίνει patched έναντι της ευπάθειας CVE-2020-0968.
Το Magniber ransomware είναι ενεργό από τον Οκτώβριο του 2017, όταν αναπτύχθηκε μέσω κακόβουλης χρήσης χρησιμοποιώντας το Magnitude Exploit Kit (EK) ως διάδοχο του ransomware Cerber.
Ενώ αρχικά επικεντρώθηκε στα θύματα της Νότιας Κορέας, η συμμορία Magniber επέκτεινε σύντομα τις δραστηριότητές της παγκοσμίως, αλλάζοντας στόχους σε άλλες χώρες, όπως η Κίνα, η Ταϊβάν, το Χονγκ Κονγκ, η Σιγκαπούρη, η Μαλαισία και άλλα.
Περισσότερες hacking ομάδες αναμένεται να προσθέσουν το PrintNightmare στα οπλοστάσια τους.
Προς το παρόν έχουμε μόνο στοιχεία ότι η hacking ομάδα που χρησιμοποιεί το Magniber χρησιμοποιεί PrintNightmware exploits για να στοχεύσει πιθανά θύματα. Η CrowdStrike εκτιμά ότι η ευπάθεια PrintNightmare σε συνδυασμό με την ανάπτυξη ransomware πιθανότατα θα συνεχίσει να αποτελεί όπλο στα χέρια hackers.
Για να προστατευτείτε από επιθέσεις που ενδέχεται να στοχεύουν στο δίκτυό σας, σας συνιστούμε να εφαρμόσετε το συντομότερο δυνατό οποιοδήποτε διαθέσιμο patch και να εφαρμόσετε εναλλακτικές λύσεις που παρέχονται από τη Microsoft για να αφαιρέσετε το κενό ασφαλείας, εάν δεν υπάρχει ακόμη διαθέσιμη ενημέρωση ασφαλείας.
Στις 13 Ιουλίου, η CISA εξέδωσε οδηγία έκτακτης ανάγκης που διατάσσει τις ομοσπονδιακές υπηρεσίες να μετριάσουν την ευάλωτη ενέργεια του PrintNightmare στα δίκτυα τους.
Η υπηρεσία κυβερνοασφάλειας δημοσίευσε επίσης μια ειδοποίηση σχετικά με το PrintNightmare την 1η Ιουλίου, ενθαρρύνοντας τους επαγγελματίες ασφαλείας να απενεργοποιήσουν την υπηρεσία Windows Print Spooler σε όλα τα συστήματα που δεν χρησιμοποιούνται για εκτύπωση.