Hackers εκμεταλλεύονται ευπάθεια σε μη ενημερωμένους διακομιστές Atlassian για να αναπτύξουν μια παραλλαγή Linux του Cerber ransomware.
Συγκεκριμένα, οι επιθέσεις χρησιμοποιούν την ευπάθεια CVE-2023-22518 (βαθμολογία CVSS: 9.1), που επηρεάζει το Atlassian Confluence Data Center and Server και επιτρέπει σε έναν μη εξουσιοδοτημένο χρήστη να κάνει reset το Confluence και να δημιουργήσει έναν λογαριασμό διαχειριστή. Οι επιτιθέμενοι μπορούν στη συνέχεια να πάρουν τον έλεγχο των ευάλωτων συστημάτων.
Σύμφωνα με την εταιρεία ασφάλειας Cado, κυβερνοεγκληματίες κάνουν κατάχρηση του πρόσφατα δημιουργημένου λογαριασμού διαχειριστή για να εγκαταστήσουν το Effluence web shell plugin και να εκτελέσουν εντολές στον κεντρικό υπολογιστή.
Δείτε επίσης: Change Healthcare: Η ransomware επίθεση στοίχισε $ 872 εκατ.
“Ο εισβολέας χρησιμοποιεί αυτό το web shell για να κατεβάσει και να εκτελέσει το κύριο Cerber ransomware payload“, δήλωσε ο Nate Bill, στέλεχος της Cado.
“Σε μια προεπιλεγμένη εγκατάσταση, η εφαρμογή Confluence εκτελείται ως χρήστης “confluence”, χρήστης χαμηλών προνομίων. Ως εκ τούτου, τα δεδομένα που μπορεί να κρυπτογραφήσει το ransomware περιορίζονται σε αρχεία που ανήκουν στον confluence user“.
Δεν είναι η πρώτη φορά, που ακούμε ότι η ευπάθεια CVE-2023-22518 της Atlassian χρησιμοποιείται για την ανάπτυξη του Cerber ransomware.
Το Cerber είναι γραμμένο σε C++ και μπορεί να λειτουργήσει ως loader για πρόσθετο κακόβουλο λογισμικό, ανακτώντας το από έναν command-and-control (C2) server.
Ο encryptor κρυπτογραφεί όλα τα περιεχόμενα και προσθέτει την επέκταση .L0CK3D στα κρυπτογραφημένα αρχεία. Επίσης, εμφανίζει ένα σημείωμα λύτρων σε κάθε κατάλογο.
Δείτε επίσης: Τα δίκτυα της κομητείας Jackson αποκαθίστανται μετά το ransomware
“Το Cerber είναι ένα σχετικά εξελιγμένο, αν και παλιό, ransomware payload“, είπε ο Bill. “Ενώ η χρήση της ευπάθειας Confluence του επιτρέπει να παραβιάσει μεγάλο αριθμό συστημάτων υψηλής αξίας, τα δεδομένα που είναι σε θέση να κρυπτογραφήσει περιορίζονται, συχνά, μόνο στα confluence data. Σε καλά διαμορφωμένα συστήματα δημιουργούνται αντίγραφα ασφαλείας για αυτά τα δεδομένα“. Ο ερευνητής εξήγησε ότι αυτό περιορίζει την αποτελεσματικότητα του ransomware, καθώς υπάρχει πολύ μικρότερο κίνητρο για πληρωμή.
Προστασία από ransomware
Η προστασία από τις επιθέσεις ransomware απαιτεί προληπτικά μέτρα. Ένα από αυτά είναι η ενημέρωση και εκπαίδευση των χρηστών για την αναγνώριση και αποφυγή ύποπτων email ή συνδέσμων που μπορεί να περιέχουν κακόβουλο λογισμικό.
Επίσης, είναι σημαντικό να διατηρείται ενημερωμένο το λειτουργικό σύστημα και όλα τα εγκατεστημένα προγράμματα, καθώς οι ενημερώσεις συχνά περιλαμβάνουν διορθώσεις ασφαλείας που μπορούν να προστατεύσουν από νέες μορφές ransomware (π.χ. νέα έκδοση του Cerber).
Δείτε επίσης: Nexperia: Ransomware επίθεση και παραβίαση δεδομένων
Απαραίτητη είναι και η δημιουργία αντιγράφων ασφαλείας, για την προστασία των πιο σημαντικών δεδομένων. Η χρήση αξιόπιστου λογισμικού antivirus είναι άλλη μια σημαντική πρακτική για την προστασία από τις επιθέσεις ransomware.
Τέλος, η χρήση εργαλείων περιορισμού των δικαιωμάτων των χρηστών και η εφαρμογή της αρχής του ελάχιστου προνομίου μπορεί να βοηθήσει στην προστασία από τις επιθέσεις ransomware, περιορίζοντας την ικανότητα του κακόβουλου λογισμικού να επεκτείνει την επίδρασή του στο σύστημα.
Πηγή: thehackernews.com
