FBI dan CISA mengeluarkan penasehat bersama untuk memperingatkan bahwa geng Bl00dy Ransomware sekarang juga secara aktif mengeksploitasi kerentanan eksekusi kode jarak jauh PaperCut untuk mendapatkan akses awal ke jaringan.
Badan Keamanan Cybersecurity & Infrastruktur AS menyebutkan bahwa aktor ancaman telah memfokuskan serangan mereka pada sektor pendidikan, yang memiliki paparan publik yang signifikan terhadap kelemahan tersebut.
“Pada awal Mei 2023, menurut informasi FBI, Geng Ransomware Bl00dy memperoleh akses ke jaringan korban di seluruh Subsektor Fasilitas Pendidikan di mana server PaperCut yang rentan terhadap CVE-2023-27350 terpapar ke internet,” bunyi laporan tersebut. penasehat keamanan
“Pada akhirnya, beberapa operasi ini menyebabkan eksfiltrasi data dan enkripsi sistem korban.”
Cacat PaperCut dilacak sebagai CVE-2023-27350 dan merupakan kelemahan eksekusi kode jarak jauh (remote code execution – RCE) dengan tingkat keparahan kritis yang memengaruhi PaperCut MF dan PaperCut NG, perangkat lunak manajemen pencetakan yang digunakan oleh sekitar 70.000 organisasi di lebih dari 100 negara.
Kerentanan telah dieksploitasi secara aktif sejak setidaknya 18 April 2023sekitar sebulan setelah pengungkapan publiknya pada bulan Maret.
Meskipun kerentanan telah diperbaiki di PaperCut NG dan MF versi 20.1.7, 21.2.11, dan 22.0.9, organisasi menjadi lambat dalam menginstal pembaruan, memungkinkan paparan terhadap serangan.
Microsoft juga melaporkan awal pekan ini bahwa kelompok peretasan Iran, termasuk ‘Muddywater’ yang disponsori negara, telah bergabung dengan eksploitasi dari CVE-2023-27350 untuk mem-bypass otentikasi pengguna dan mencapai eksekusi jarak jauh pada target mereka.
Sayangnya, ketersediaan eksploitasi proof-of-concept (PoC). untuk cacat PaperCut, beberapa di antaranya adalah kurang terdeteksimeningkatkan risiko bagi organisasi bahkan lebih.
Bl00dy vs Pendidikan
CISA mengatakan subsektor Fasilitas Pendidikan bertanggung jawab atas sekitar 68% dari server PaperCut yang terpapar internet. Namun, jumlah titik akhir yang belum ditambal dan rentan masih belum diketahui.
Serangan ransomware Bl00dy yang diamati baru-baru ini berhasil melawan beberapa target di sektor ini, memanfaatkan CVE-2023-27350 untuk melewati autentikasi pengguna dan mengakses server sebagai administrator.
Akses ini kemudian digunakan untuk menelurkan proses ‘cmd.exe’ dan ‘powershell.exe’ baru dengan hak istimewa tinggi yang sama untuk mendapatkan akses jarak jauh ke perangkat dan menggunakannya sebagai landasan peluncuran untuk menyebar secara lateral melalui jaringan.
Selama waktu ini, pelaku ransomware mencuri data dan mengenkripsi sistem target, meninggalkan catatan yang menuntut pembayaran sebagai ganti dekripsi yang berfungsi dan janji untuk tidak mempublikasikan atau menjual data yang dicuri.
Itu Operasi ransomware Bl00dy diluncurkan pada Mei 2022 dan menggunakan enkripsi berdasarkan membocorkan kode sumber LockBit daripada mengembangkan perangkat lunak mereka sendiri.
Mereka juga terlihat menggunakan enkripsi berdasarkan kode sumber yang bocor dari Babuk [VirusTotal] dan Conti [VirusTotal].
Buletin CISA memberikan perincian lengkap tentang tanda-tanda eksploitasi yang tertinggal di server target, tanda lalu lintas jaringan, dan proses anak yang harus dipantau untuk membantu organisasi menghentikan serangan ini.
Namun, tindakan yang disarankan adalah tetap menerapkan pembaruan keamanan yang tersedia di server PaperCut MF dan NG, yang mengatasi semua celah keamanan yang dieksploitasi oleh pelaku ancaman.
