За атаками на сервера PaperCut стоят банды вымогателей Clop и LockBit

Microsoft Microsoft Threat Intelligence PaperCut TrueBot Cobalt Strike MegaSync Clop Accellion FTA GoAnywhere LockBit CISA PoC эксплойт
За атаками на сервера PaperCut стоят банды вымогателей Clop и LockBit
Microsoft Microsoft Threat Intelligence PaperCut TrueBot Cobalt Strike MegaSync Clop Accellion FTA GoAnywhere LockBit CISA PoC эксплойт

Специалисты Microsoft рекомендуют клиентам печатного сервиса как можно скорее обновить своё программное обеспечение.

image

Microsoft связывает недавние атаки на серверы PaperCut с операциями программ-вымогателей Clop и LockBit, которые использовали доступные уязвимости для кражи корпоративных данных.

В прошлом месяце в программном обеспечении PaperCut были исправлены две уязвимости, которые позволяли неавторизованным злоумышленникам удалённо выполнять вредоносный код и раскрывать конфиденциальные данные.

19 апреля представители компании сообщили , что эти уязвимости, маркированные CISA как CVE-2023–27350 и CVE-2023–27351 — активно использовались реальными киберпреступниками, и призвали администраторов срочно обновить свои серверы PaperCut до последней версии.

Всего несколько дней спустя был выпущен PoC-эксплойт для выявленной уязвимости удалённого выполнения кода, что позволило и другим злоумышленникам активно взламывать уязвимые серверы.

Сегодня представители Microsoft Threat Intelligence сообщили в Twitter*, что за атаками на PaperCut стоят банды вымогателей Clop и LockBit, а их главная цель — кража корпоративных данных с уязвимых серверов. В серии опубликованных твитов, специалисты Microsoft заявили, что приписали недавние атаки PaperCut банде вымогателей Clop.

Хакеры Clop стали особенно широко известны после того, как в 2020 году похитили данные около 100 компаний благодаря уязвимости Accellion FTA, а также кражи данных ещё 130 компаний с уязвимых серверов Fortra GoAnywhere уже в этом году.

Исследователи Microsoft сообщили, что в своей последней вредоносной кампании злоумышленники использовал уязвимости PaperCut, для первоначального доступа к корпоративной сети, начиная с 13 апреля. Получив доступ к серверу, хакеры развернули вредоносное ПО TrueBot, которое также связывают с операциями по вымогательству Clop. В конце концов, злоумышленникам удалось развернуть Cobalt Strike и использовать его для горизонтального распространения по сети и кражи данных с помощью приложения для обмена файлами MegaSync.

Помимо Clop, Microsoft заявляет, что некоторые вторжения привели к атакам программ-вымогателей LockBit. Однако неясно, начались ли эти атаки после того, как эксплойты были опубликованы, или ещё до этого.

Исследователи Microsoft, как и сама компания PaperCut, рекомендуют всем организациям, использующим PaperCut MF или NG, немедленно выполнить обновление софта до актуальных версий, чтобы устранить активно эксплуатируемые уязвимости и избежать возможных проблем с безопасностью.

* Социальная сеть запрещена на территории Российской Федерации.

Alert! Зафиксирована утечка экспертных знаний!

Собираем и анализируем опыт профессионалов ИБ

Подключитесь к потоку конфиденциальной информации!