Bl00dy Ransomware nhắm vào các tổ chức giáo dục trong các cuộc tấn công PaperCut

FBI và CISA đã đưa ra một lời khuyên chung để cảnh báo rằng băng nhóm Ransomware Bl00dy hiện cũng đang tích cực khai thác lỗ hổng thực thi mã từ xa PaperCut để có quyền truy cập ban đầu vào mạng.

Cơ quan an ninh cơ sở hạ tầng và an ninh mạng Hoa Kỳ đề cập rằng tác nhân đe dọa đã tập trung các cuộc tấn công của họ vào lĩnh vực giáo dục, lĩnh vực có sự phơi bày lỗ hổng công khai đáng kể.

“Vào đầu tháng 5 năm 2023, theo thông tin của FBI, Bl00dy Ransomware Gang đã có quyền truy cập vào các mạng nạn nhân trên khắp Phân ngành Cơ sở Giáo dục nơi các máy chủ PaperCut dễ bị tấn công CVE-2023-27350 đã bị lộ trên internet,” tư vấn bảo mật viết  .

"Cuối cùng, một số hoạt động này đã dẫn đến việc đánh cắp dữ liệu và mã hóa hệ thống nạn nhân."

Lỗ hổng PaperCut được theo dõi là CVE-2023-27350 và là một điểm yếu thực thi mã từ xa (RCE) nghiêm trọng ảnh hưởng đến PaperCut MF và PaperCut NG, phần mềm quản lý in được sử dụng bởi khoảng 70.000 tổ chức tại hơn 100 quốc gia.

Lỗ hổng đã được khai thác tích cực  kể từ ít nhất là ngày 18 tháng 4 năm 2023 , khoảng một tháng sau khi được tiết lộ công khai vào tháng 3. 

Mặc dù lỗ hổng đã được khắc phục trong PaperCut NG và MF phiên bản 20.1.7, 21.2.11 và 22.0.9, nhưng các tổ chức đã chậm cài đặt bản cập nhật, dẫn đến dễ bị tấn công.

Microsoft cũng đã báo cáo vào đầu tuần này rằng các nhóm hack của Iran, bao gồm cả 'Muddywater' do nhà nước tài trợ, đã  tham gia khai thác  CVE-2023-27350 để bỏ qua xác thực người dùng và thực hiện từ xa các mục tiêu của họ.

Thật không may, sự sẵn có của  các khai thác bằng chứng khái niệm (PoC)  cho lỗ hổng PaperCut, một số trong đó  ít được phát hiện hơn , làm tăng rủi ro cho các tổ chức nhiều hơn.

CISA cho biết phân ngành Cơ sở giáo dục chịu trách nhiệm cho khoảng 68% các máy chủ PaperCut tiếp xúc với internet. Tuy nhiên, số lượng các điểm cuối chưa được vá và do đó dễ bị tổn thương vẫn chưa được biết.

Các cuộc tấn công ransomware Bl00dy được quan sát gần đây đã thành công đối với một số mục tiêu trong lĩnh vực này, tận dụng CVE-2023-27350 để bỏ qua xác thực người dùng và truy cập máy chủ với tư cách quản trị viên.

Quyền truy cập này sau đó được sử dụng để tạo ra các quy trình 'cmd.exe' và 'powershell.exe' mới với cùng các đặc quyền cao để có quyền truy cập từ xa vào thiết bị và sử dụng nó làm bệ phóng để lan truyền qua mạng.

Trong thời gian này, các tác nhân ransomware đánh cắp dữ liệu và mã hóa hệ thống mục tiêu, để lại các ghi chú yêu cầu thanh toán để đổi lấy bộ giải mã hoạt động và hứa không xuất bản hoặc bán dữ liệu bị đánh cắp.

Mẫu ghi chú đòi tiền chuộc bị rơi trong các cuộc tấn công Bl00dy gần đây 

Hoạt  động ransomware Bl00dy  ra mắt vào tháng 5 năm 2022 và sử dụng bộ mã hóa dựa trên  mã nguồn LockBit bị rò rỉ  thay vì phát triển phần mềm của riêng chúng.

Họ cũng đã được nhìn thấy sử dụng bộ mã hóa dựa trên mã nguồn bị rò rỉ từ  Babuk  [ VirusTotal ] và Conti [ VirusTotal ].

Bản tin của CISA cung cấp đầy đủ chi tiết về các dấu hiệu khai thác còn sót lại trên các máy chủ được nhắm mục tiêu, chữ ký lưu lượng mạng và các quy trình con cần được theo dõi để giúp các tổ chức ngăn chặn các cuộc tấn công này.

Tuy nhiên, hành động được đề xuất vẫn là áp dụng các bản cập nhật bảo mật có sẵn trên máy chủ PaperCut MF và NG, giúp giải quyết tất cả các lỗ hổng bảo mật do các tác nhân đe dọa khai thác.

Mời quý khách đặt trước (trả sau) để nv tiện gọi lại tư vấn bằng livestream cụ thể cho khách chụp màn hình để đồng kiểm. Công Tắc Công Suất Cao Tuya Wifi 20a Lắp Bình Nóng Lạnh mua ở đây sẽ được bảo hành 36 tháng + bh mở rộng, bh rơi vở vô nước chạm cháy tại trungtambaohanh.com, phục vụ 24/7 tại nhà nhằm đảm bảo tối đa tính an toàn riêng tư dữ liệu cho người dùng, chỉ cần đặt hàng trước 24h quý khách được tặng gói bảo hiểm phần cứng và phần mềm.