Perché il ransomware è un grosso problema di sicurezza informatica e cosa è necessario fare per fermarlo Guarda ora
I criminali informatici stanno sfruttando le vulnerabilità di Windows PrintNightmare nei loro tentativi di infettare le vittime con ransomware e il numero di gruppi di ransomware che tentano di sfruttare le reti prive di patch è destinato a crescere.
Le vulnerabilità di esecuzione del codice in modalità remota (CVE-2021-34527 e CVE-2021-1675) in Windows Print Spooler , un servizio abilitato per impostazione predefinita in tutti i client Windows e utilizzato per copiare i dati tra dispositivi per gestire i processi di stampa, consentono agli aggressori di eseguire codice arbitrario , consentendo loro di installare programmi, modificare, modificare ed eliminare dati, creare nuovi account con diritti utente completi e spostarsi lateralmente nelle reti.
Ora le bande di ransomware stanno sfruttando PrintNightmare per compromettere reti, crittografare file e server e richiedere alle vittime il pagamento di una chiave di decrittazione.
VEDERE: Una strategia vincente per la sicurezza informatica (rapporto speciale ZDNet)
Uno di questi è Vice Society, un giocatore relativamente nuovo nel settore dei ransomware che è apparso per la prima volta a giugno e conduce campagne pratiche contro obiettivi. Vice Society è nota per essere veloce nello sfruttare le nuove vulnerabilità di sicurezza per aiutare gli attacchi ransomware e, secondo i ricercatori di sicurezza informatica di Cisco Talos, hanno aggiunto PrintNightmare al loro arsenale di strumenti per compromettere le reti.
Come molti gruppi di cyber-criminali ransomware, Vice Society utilizza attacchi di doppia estorsione, rubando dati alle vittime e minacciando di pubblicarli se il riscatto non viene pagato. Secondo Cisco Talos, il gruppo si è concentrato principalmente sulle vittime di piccole e medie dimensioni, in particolare scuole e altre istituzioni educative.
La natura onnipresente dei sistemi Windows in questi ambienti significa che Vice Society può utilizzare le vulnerabilità di PrintNightmare se non sono state applicate le patch, per eseguire codice, mantenere la persistenza sulle reti e distribuire ransomware.
“L'uso della vulnerabilità nota come PrintNightmare mostra che gli avversari stanno prestando molta attenzione e incorporeranno rapidamente nuovi strumenti che trovano utili per vari scopi durante i loro attacchi”, hanno scritto i ricercatori di Cisco Talos in un post sul blog.
“Molti attori di minacce distinti stanno ora sfruttando PrintNightmare e questa adozione continuerà probabilmente ad aumentare finché sarà efficace”.
Un altro gruppo di ransomware che sfrutta attivamente le vulnerabilità di PrintNightmare è Magniber. Questa operazione ransomware è attiva e introduce nuove funzionalità e metodi di attacco dal 2017. Inizialmente Magniber ha utilizzato malvertising per diffondere gli attacchi, prima di passare a sfruttare le vulnerabilità di sicurezza prive di patch in software tra cui Internet Explorer e Flash. La maggior parte delle campagne Magniber ha come target la Corea del Sud.
Ora, secondo i ricercatori di sicurezza informatica di Crowdstrike, il ransomware Magniber sta utilizzando PrintNightmare nelle campagne, dimostrando ancora una volta come le bande di ransomware e altri gruppi di criminali informatici cercano di sfruttare le vulnerabilità recentemente divulgate per aiutare gli attacchi prima che gli operatori di rete abbiano applicato la patch.
VEDERE: Questo nuovo attacco di phishing è “più subdolo del solito”, avverte Microsoft
È probabile che altri gruppi di ransomware e le campagne di hacking dannose cercheranno di sfruttare PrintNightmare, quindi la migliore forma di difesa contro la vulnerabilità è garantire che i sistemi vengano aggiornati il prima possibile.
“CrowdStrike stima che la vulnerabilità di PrintNightmare unita all'implementazione di ransomware continuerà probabilmente a essere sfruttata da altri attori delle minacce”, ha affermato Liviu Arsene, direttore della ricerca sulle minacce e dei rapporti di Crowdstrike.
“Incoraggiamo le organizzazioni ad applicare sempre le patch e gli aggiornamenti di sicurezza più recenti per mitigare le vulnerabilità note e aderire alle migliori pratiche di sicurezza per rafforzare la propria posizione di sicurezza contro minacce e avversari sofisticati”, ha aggiunto.
ALTRO SULLA CYBERSECURITY
Questa modifica potrebbe proteggere i tuoi sistemi dagli attacchi. Allora perché non più aziende lo fanno?Questo importante attacco ransomware è stato sventato all'ultimo minuto. Ecco come l'hanno individuatoNuova task force del DOJ per affrontare il ransomware, afferma il rapportoRansomware: questi sono i due modi più comuni con cui gli hacker entrano nella tua rete Abbiamo raggiunto il picco di ransomware? Come è cresciuto il più grande problema di sicurezza di Internet e cosa succede dopo
Argomenti correlati:
Security TV Data Management CXO Data Center 