Hvorfor ransomware er et stort cybersikkerhetsproblem og hva som må gjøres for å stoppe det Se nå
Cyberkriminelle utnytter Windows PrintNightmare -sårbarheter i sine forsøk på å infisere ofre med ransomware – og antall ransomware -grupper som prøver å dra nytte av upatchede nettverk er sannsynlig å vokse.
Sårbarhetene for ekstern kjøring av kode (CVE-2021-34527 og CVE-2021-1675) i Windows Print Spooler-en tjeneste som er aktivert som standard i alle Windows-klienter og brukes til å kopiere data mellom enheter for å administrere utskriftsjobber-lar angriperne kjøre vilkårlig kode , slik at de kan installere programmer, endre, endre og slette data, opprette nye kontoer med fulle brukerrettigheter og flytte sidelengs rundt nettverk.
Nå utnytter ransomware -gjenger PrintNightmare for å kompromittere nettverk, kryptere filer og servere og kreve betaling fra ofre for en dekrypteringsnøkkel.
SE: En vinnende strategi for cybersikkerhet (ZDNet spesialrapport)
En av dem er Vice Society, en relativt ny aktør i ransomware-området som først dukket opp i juni og gjennomfører praktiske, menneskelig opererte kampanjer mot mål. Vice Society er kjent for å være rask til å utnytte nye sikkerhetsproblemer for å hjelpe ransomware -angrep, og ifølge cybersikkerhetsforskere ved Cisco Talos har de lagt PrintNightmare til sitt arsenal av verktøy for å kompromittere nettverk.
Som mange cyberkriminelle løsepengegrupper bruker Vice Society doble utpressingsangrep, stjeler data fra ofre og truer med å publisere dem hvis løsepengen ikke er betalt. I følge Cisco Talos har gruppen stort sett fokusert på små og mellomstore ofre, særlig skoler og andre utdanningsinstitusjoner.
Den allestedsnærværende naturen til Windows -systemer i disse miljøene betyr at Vice Society kan bruke PrintNightmare -sårbarheter hvis oppdateringer ikke er brukt, for å utføre kode, opprettholde utholdenhet i nettverk og levere ransomware.
“Bruken av sårbarheten kjent som PrintNightmare viser at motstandere følger nøye med og raskt vil inkorporere nye verktøy som de finner nyttige for forskjellige formål under angrepene sine,” skrev forskere i Cisco Talos i et blogginnlegg.
“Flere forskjellige trusselaktører utnytter nå PrintNightmare, og denne adopsjonen vil trolig fortsette å øke så lenge den er effektiv”.
En annen ransomware -gruppe som aktivt utnytter PrintNightmare -sårbarhetene er Magniber. Denne ransomware -operasjonen har vært aktiv og introdusert nye funksjoner og angrepsmetoder siden 2017. Magniber brukte opprinnelig malvertising for å spre angrep, før han gikk videre til å dra fordel av uoppdaterte sikkerhetsproblemer i programvare inkludert Internet Explorer og Flash. Flertallet av Magniber -kampanjer er rettet mot Sør -Korea.
Nå, ifølge cybersikkerhetsforskere ved Crowdstrike, bruker Magniber ransomware PrintNightmare i kampanjer, og demonstrerer igjen hvordan ransomware-gjenger og andre cyberkriminelle grupper prøver å dra nytte av nylig avslørte sårbarheter for hjelpeangrep før nettoperatører har brukt oppdateringen.
SE: Dette nye phishing -angrepet er “lurere enn vanlig”, advarer Microsoft
Det er sannsynlig at andre ransomware -grupper og ondsinnede hackingskampanjer vil prøve å utnytte PrintNightmare, så den beste formen for forsvar mot sårbarheten er å sikre at systemene blir lappet så snart som mulig.
“CrowdStrike anslår at PrintNightmare -sårbarheten kombinert med distribusjon av ransomware sannsynligvis vil bli utnyttet av andre trusselaktører,” sa Liviu Arsene, direktør for trusselforskning og rapportering i Crowdstrike.
“Vi oppfordrer organisasjoner til alltid å bruke de siste oppdateringene og sikkerhetsoppdateringene for å dempe kjente sårbarheter og følge beste praksis for sikkerhet for å styrke deres sikkerhetsstilling mot trusler og sofistikerte motstandere,” la han til.
MER OM CYBERSIKKERHET
Denne endringen kan beskytte systemene dine mot angrep. Så hvorfor gjør ikke flere selskaper det? Dette store ransomware -angrepet ble fjernet i siste øyeblikk. Slik oppdaget de det Ny DOJ -arbeidsgruppe for å ta på seg ransomware, sier rapport Ransomware: Dette er de to vanligste måtene hackere kommer inn i nettverket på Har vi nådd topp ransomware? Hvordan internettets største sikkerhetsproblem har vokst og hva som skjer videre
Relaterte emner:
Sikkerhet TV Datahåndtering CXO datasentre 