Киберпреступники используют уязвимости Windows PrintNightmare в своих попытках заразить жертв с помощью программ-вымогателей — и число групп программ-вымогателей, пытающихся воспользоваться незащищенными сетями, вероятно, будет расти.
Уязвимости удаленного выполнения кода (CVE -2021-34527 и CVE-2021-1675) в диспетчере очереди печати Windows — службе, включенной по умолчанию во всех клиентах Windows и используемой для копирования данных между устройствами для управления заданиями печати — позволяет злоумышленникам запускать произвольный код, позволяя им устанавливать программы, изменять, изменять и удалять данные, создавать новые учетные записи с полными правами пользователя и перемещаться по сети.
Теперь банды вымогателей используют PrintNightmare для взлома сетей, шифрования файлов и серверов и требования оплаты от жертв за ключ дешифрования.
SEE: Выигрышная стратегия кибербезопасности (специальный отчет ZDNet)
Один из них — Vice Society, a относительно новый игрок в сфере программ-вымогателей, который впервые появился в июне и проводит практические кампании против целей, управляемые людьми. Известно, что Vice Society быстро использует новые уязвимости в системе безопасности, чтобы помочь в атаках программ-вымогателей, и, по мнению исследователей кибербезопасности из Cisco Talos, они добавили PrintNightmare в свой арсенал инструментов для компрометации сетей.
Как и многие киберпреступные группы программ-вымогателей, Vice Society использует атаки с двойным вымогательством, крадет данные у жертв и угрожает опубликовать их, если выкуп не будет уплачен. Согласно Cisco Talos, группа в основном сосредоточена на жертвах небольшого и среднего размера, особенно школах и других образовательных учреждениях.
Повсеместное распространение систем Windows в этих средах означает, что Vice Society может использовать уязвимости PrintNightmare, если не были применены исправления, для выполнения кода, сохранения устойчивости в сетях и доставки программ-вымогателей.
«Использование уязвимости, известной как PrintNightmare, показывает, что злоумышленники уделяют пристальное внимание и быстро внедряют новые инструменты, которые они сочтут полезными для различных целей во время своих атак», — написали исследователи Cisco Talos в своем блоге.
«Множество различных субъектов угрозы сейчас используют преимущества PrintNightmare, и это внедрение, вероятно, будет продолжать расти, пока оно будет эффективным».
Magniber — еще одна группа программ-вымогателей, активно использующих уязвимости PrintNightmare. Эта операция с программами-вымогателями активна и вводит новые функции и методы атак с 2017 года. Сначала Magniber использовал вредоносную рекламу для распространения атак, а затем перешел к использованию незащищенных уязвимостей в программном обеспечении, включая Internet Explorer и Flash. Большинство кампаний Magniber нацелено на Южную Корею.
Теперь, по мнению исследователей кибербезопасности из Crowdstrike, программа-вымогатель Magniber использует PrintNightmare в своих кампаниях, снова демонстрируя, как банды вымогателей и другие киберпреступные группы пытаются воспользоваться недавно обнаруженными уязвимостями для помощи в атаках до того, как сетевые операторы применили патч.
СМ .: Эта новая фишинговая атака «хитрее, чем обычно», предупреждает Microsoft
Вполне вероятно, что другие группы программ-вымогателей и злонамеренные хакерские кампании будут постарайтесь использовать PrintNightmare, поэтому лучшая форма защиты от уязвимости — как можно скорее исправить систему.
«По оценкам CrowdStrike, уязвимость PrintNightmare в сочетании с развертыванием вымогателей, вероятно, будет и дальше использоваться другими участниками угроз», — сказала Ливиу Арсен, директор по исследованию угроз и отчетности в Crowdstrike.
«Мы призываем организации всегда применять последние исправления и обновления безопасности для уменьшения известных уязвимостей и придерживаться передовых методов безопасности, чтобы укрепить свою позицию по защите от угроз и изощренных злоумышленников», — добавил он.
