El ransomware Vice Society se une a los ataques PrintNightmare en curso

La banda de ransomware Vice Society ahora está explotando activamente la vulnerabilidad PrintNightmare de Windows Print Spooler para el movimiento lateral a través de las redes de víctimas.

PrintNightmare es una colección de agujeros de seguridad revelados recientemente (trazados como CVE-2021-1675, CVE-2021-34527y CVE-2021-36958) que afectan al servicio de cola de impresión de Windows, los controladores de impresión de Windows y la función de apuntar e imprimir de Windows.

Microsoft publicó actualizaciones de seguridad para abordar los errores CVE-2021-1675 y CVE-2021-34527 en junio, julio y agosto y también lanzó un aviso de seguridad esta semana con una solución para CVE-2021-36958 (un error diario cero que permite privilegios para escalar).

Los atacantes pueden abusar de este conjunto de agujeros de seguridad aumentando los privilegios locales (LPE) o distribuyendo malware como administradores de dominio de Windows a través de la ejecución remota de código (RCE) con privilegios de SISTEMA.

Índice de contenidos
  1. PrintNightmare agregado al arsenal de Vice Society
  2. PrintNightmare explotado activamente por múltiples actores de amenazas

PrintNightmare agregado al arsenal de Vice Society

Recientemente, Los investigadores de Cisco Talos observaron Los operadores de ransomware Vice Society implementan una biblioteca de vínculos dinámicos (DLL) maliciosa para explotar dos fallas en PrintNightmare (CVE-2021-1675 y CVE-2021-34527).

El ransomware Vice Society (probablemente un derivado de HelloKitty) cifra los sistemas Windows y Linux utilizando OpenSSL (AES256 + secp256k1 + ECDSA), como dijo el experto en ransomware Michael Gillespie encontrado a mediados de junio cuando surgieron las primeras muestras.

La pandilla Vice Society se dirige principalmente a víctimas pequeñas y medianas en ataques de doble extorsión provocados por el hombre, con un enfoque en los distritos escolares públicos y otras instituciones educativas.

Cisco Talos también ha creado una lista de las tácticas, técnicas y procedimientos (TTP) preferidos de Vice Society, incluida la eliminación de copias de seguridad para evitar que las víctimas restauren los sistemas cifrados y eviten las protecciones de Windows para el robo de credenciales y la escalada de privilegios.

"Están listos para explotar las nuevas vulnerabilidades para el movimiento lateral y la persistencia en la red de la víctima", dijo Cisco Talos.

"También intentan ser innovadores en las omisiones de respuesta de detección de endpoints" y "ejecutar un sitio de filtración de datos, que utilizan para publicar datos exfiltrados de víctimas que no eligen pagar por sus solicitudes de extorsión".

PrintNightmare explotado activamente por múltiples actores de amenazas

El Cuentas y las bandas de ransomware Magniber también utilizan exploits PrintNightmare para poner en peligro los servidores de Windows sin parches.

Los intentos de Magniber de explotar las vulnerabilidades de la cola de impresión de Windows en ataques contra las víctimas de Corea del Sur fueron detectados por Crowdstrike a mediados de junio.

Informes sobre la explotación de PrintNightmare en la naturaleza [1, 2, 3] era goteando lentamente por dentro desde que se informó por primera vez de la vulnerabilidad y se han filtrado exploits de prueba de concepto.

"Muchos actores de amenazas distintos ahora están aprovechando PrintNightmare y es probable que esta adopción continúe creciendo mientras sea efectiva", agregó Cisco Talos.

"El uso de la vulnerabilidad conocida como PrintNightmare muestra que los adversarios están prestando mucha atención e incorporarán rápidamente nuevas herramientas que encontrarán útiles para varios propósitos durante sus ataques".

Descubre más contenido

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Subir Change privacy settings