Varför ransomware är ett stort cybersäkerhetsproblem och vad som behöver göras för att stoppa det Se nu
Cyberkriminella utnyttjar Windows PrintNightmare -sårbarheter i sina försök att infektera offer med ransomware – och antalet ransomware -grupper som försöker dra nytta av ospärrade nätverk kommer sannolikt att växa.
Sårbarheterna för fjärrkodskörning (CVE-2021-34527 och CVE-2021-1675) i Windows Print Spooler-en tjänst som är aktiverad som standard i alla Windows-klienter och används för att kopiera data mellan enheter för att hantera utskriftsjobb-tillåter angripare att köra godtycklig kod , gör det möjligt för dem att installera program, ändra, ändra och ta bort data, skapa nya konton med fullständiga användarrättigheter och flytta i sidled runt nätverk.
Nu utnyttjar ransomware -gäng PrintNightmare för att kompromissa nätverk, kryptera filer och servrar och kräva betalning från offren för en dekrypteringsnyckel.
SE: En vinnande strategi för cybersäkerhet (ZDNet specialrapport)
En av dem är Vice Society, en relativt ny aktör inom ransomware-området som först dök upp i juni och genomför praktiska, mänskligt drivna kampanjer mot mål. Vice Society är känt för att vara snabb med att utnyttja nya säkerhetsproblem för att hjälpa ransomware -attacker, och enligt cybersäkerhetsforskare på Cisco Talos har de lagt till PrintNightmare i sin arsenal av verktyg för att kompromissa nätverk.
Precis som många cyberkriminella ransomware-grupper använder Vice Society dubbla utpressningsattacker, stjäl data från offer och hotar att publicera det om lösen inte betalas. Enligt Cisco Talos har gruppen mest fokuserat på små och medelstora offer, särskilt skolor och andra utbildningsinstitutioner.
Windows -systemens allestädes närvarande karaktär i dessa miljöer innebär att Vice Society kan använda PrintNightmare -sårbarheter om patchar inte har tillämpats, för att köra kod, behålla uthållighet i nätverk och leverera ransomware.
“Användningen av den sårbarhet som kallas PrintNightmare visar att motståndare ägnar stor uppmärksamhet och snabbt kommer att införliva nya verktyg som de tycker är användbara för olika ändamål under sina attacker”, skrev forskare i Cisco Talos i ett blogginlägg.
“Flera distinkta hotaktörer drar nu nytta av PrintNightmare, och antagandet kommer sannolikt att fortsätta att öka så länge det är effektivt”.
En annan ransomware -grupp som aktivt utnyttjar PrintNightmare -sårbarheterna är Magniber. Denna ransomware -operation har varit aktiv och har introducerat nya funktioner och angreppsmetoder sedan 2017. Magniber använde först malvertising för att sprida attacker, innan han gick vidare med att dra nytta av ouppdaterade säkerhetsproblem i programvara inklusive Internet Explorer och Flash. Majoriteten av Magniber -kampanjer är riktade mot Sydkorea.
Nu, enligt cybersäkerhetsforskare på Crowdstrike, använder Magniber-ransomware PrintNightmare i kampanjer för att återigen demonstrera hur ransomware-gäng och andra cyberkriminella grupper försöker dra nytta av nyligen avslöjade sårbarheter för att hjälpa attacker innan nätoperatörer har applicerat korrigeringen.
SE: Denna nya nätfiskeattack är “smygigare än vanligt”, varnar Microsoft
Det är troligt att andra ransomware -grupper och skadliga hackningskampanjer kommer att se till att utnyttja PrintNightmare, så den bästa formen av försvar mot sårbarheten är att se till att system patchas så snart som möjligt.
“CrowdStrike uppskattar att PrintNightmare -sårbarheten tillsammans med distribution av ransomware sannolikt kommer att fortsätta att utnyttjas av andra hotaktörer”, säger Liviu Arsene, chef för hotforskning och rapportering på Crowdstrike.
“Vi uppmuntrar organisationer att alltid använda de senaste uppdateringarna och säkerhetsuppdateringarna för att mildra kända sårbarheter och följa bästa praxis för att stärka sin säkerhetsställning mot hot och sofistikerade motståndare”, tillade han.
MER OM CYBERSÄKERHET
Den här ändringen kan skydda dina system från attacker. Så varför gör inte fler företag det? Den här stora ransomware -attacken avhjälps i sista minuten. Så här upptäckte de det Ny DOJ -arbetsgrupp för att ta sig an ransomware, säger rapport Ransomware: Det här är de två vanligaste sätten hackare kommer in i ditt nätverk Har vi nått toppen ransomware? Hur internetets största säkerhetsproblem har vuxit och vad som händer sedan
Relaterade ämnen:
Säkerhet TV Datahantering CXO Datacenter 