Η συμμορία ransomware TellYouThePass εκμεταλλεύεται την ευπάθεια CVE-2024-4577 στη γλώσσα PHP για τη διανομή webshells και την εκτέλεση encryptor payload σε συστήματα-στόχους. Η ευπάθεια επιτρέπει εκτέλεση κώδικα απομακρυσμένα και έχει ήδη διορθωθεί (PHP 8.3.8, PHP 8.2.20 και PHP 8.1.29).
Οι επιθέσεις ξεκίνησαν στις 8 Ιουνίου, λιγότερο από 48 ώρες μετά την κυκλοφορία των ενημερώσεων ασφαλείας. Έχει, επίσης, κυκλοφορήσει ένα PoC exploit, που βοήθησε στην εκκίνηση επιθέσεων.
Δεν είναι η πρώτη φορά που η ransomware συμμορία TellYouThePass αξιοποιεί δημόσια exploits για γνωστές ευπάθειες. Τον περασμένο Νοέμβριο χρησιμοποίησαν ένα Apache ActiveMQ RCE και τον Δεκέμβριο του 2021 αξιοποίησαν ένα Log4j exploit για να παραβιάσουν εταιρείες.
Δείτε επίσης: Νοσοκομεία στο Λονδίνο ζητούν αιμοδότες και εθελοντές γιατρούς μετά από ransomware
Στις τελευταίες επιθέσεις που εντόπισε η εταιρεία Imperva, το TellYouThePass ransomware εκμεταλλεύεται την σοβαρή ευπάθεια CVE-2024-4577 στη γλώσσα PHP για να εκτελέσει κώδικα, χρησιμοποιώντας το Windows mshta.exe binary με σκοπό να εκτελέσει ένα HTML application (HTA) file.
Αυτό το αρχείο περιέχει VBScript με μια συμβολοσειρά με κωδικοποίηση base64 που αποκωδικοποιείται σε binary, φορτώνοντας μια παραλλαγή .NET του ransomware στη μνήμη του κεντρικού υπολογιστή.
Κατά την εκτέλεση, το malware στέλνει ένα HTTP request σε έναν command-and-control (C2) server, που εμφανίζεται σαν CSS resource request και κρυπτογραφεί τα αρχεία στο μολυσμένο μηχάνημα.
Αφού ολοκληρωθεί η διαδικασία μόλυνσης, εμφανίζεται στο θύμα ένα σημείωμα, “READ_ME10.html“, με οδηγίες σχετικά με τον τρόπο επαναφοράς των αρχείων του.
Σύμφωνα με το BleepingComputer, οι ransomware επιθέσεις TellYouThePass έχουν στοχεύσει θύματα από τις 8 Ιουνίου και το σημείωμα λύτρων απαιτούσε 0,1 BTC (περίπου 6.700 $) για το κλειδί αποκρυπτογράφησης.
Η ευπάθεια PHP άρχισε να χρησιμοποιείται μετά την ενημέρωση
Η ευπάθεια CVE-2024-4577 είναι μια κρίσιμη ευπάθεια που επηρεάζει όλες τις εκδόσεις PHP από την 5.x. Ανακαλύφθηκε στις 7 Μαΐου από τον Orange Tsai της Devcore, ο οποίος το ανέφερε στην ομάδα της PHP. Μια ενημέρωση κώδικα κυκλοφόρησε στις 6 Ιουνίου με την κυκλοφορία των εκδόσεων PHP 8.3.8, 8.2.20 και 8.1.29.
Δείτε επίσης: Το Ransomware κατέστρεψε σχολεία και πόλεις τον Μάιο
Μια μέρα μετά την ενημέρωση, η WatchTowr Labs κυκλοφόρησε PoC exploit για την ευπάθεια. Την ίδια μέρα, εντοπίστηκαν απόπειρες εκμετάλλευσης.
Σύμφωνα με χθεσινή αναφορά της Censys, υπάρχουν περισσότεροι από 450.000 εκτεθειμένοι διακομιστές PHP που θα μπορούσαν να είναι ευάλωτοι στην ευπάθεια CVE-2024-4577. Οι περισσότεροι από αυτούς βρίσκονται στις Ηνωμένες Πολιτείες και τη Γερμανία.
Προστασία από ransomware
Δημιουργία αντίγραφων ασφαλείας των δεδομένων σας: Ένας από τους πιο αποτελεσματικούς τρόπους για να προστατευτείτε από μια επίθεση ransomware είναι να δημιουργείτε τακτικά αντίγραφα ασφαλείας των δεδομένων σας. Αυτό διασφαλίζει ότι ακόμα κι αν τα δεδομένα σας είναι κρυπτογραφημένα από ransomware, θα έχετε ένα ασφαλές αντίγραφο που μπορεί να αποκατασταθεί χωρίς να πληρώσετε τα λύτρα.
Ενημέρωση λειτουργικού συστήματος και λογισμικού: Τα μη ενημερωμένα λειτουργικά συστήματα και λογισμικό είναι ευάλωτα σε επιθέσεις στον κυβερνοχώρο, συμπεριλαμβανομένου του ransomware. Είναι σημαντικό να ενημερώνετε τακτικά τις συσκευές σας με τις πιο πρόσφατες ενημερώσεις ασφαλείας και λογισμικού για να αποτρέψετε τυχόν ευπάθειες που θα μπορούσαν να χρησιμοποιηθούν από ransomware.
Προσοχή σε ύποπτα μηνύματα ηλεκτρονικού ταχυδρομείου και συνδέσμους: Οι επιθέσεις ransomware συχνά ξεκινούν με ένα phishing email ή κακόβουλο σύνδεσμο. Είναι σημαντικό να είστε προσεκτικοί όταν ανοίγετε μηνύματα ηλεκτρονικού ταχυδρομείου από άγνωστους αποστολείς. Επίσης, μην κάνετε κλικ σε ύποπτους συνδέσμους. Αυτά θα μπορούσαν να οδηγήσουν στην εγκατάσταση ransomware στη συσκευή σας.
Χρήση λογισμικού προστασίας από ιούς: Η εγκατάσταση αξιόπιστου λογισμικού προστασίας από ιούς στις συσκευές σας μπορεί να σας βοηθήσει να εντοπίσετε και να αποτρέψετε επιθέσεις ransomware. Φροντίστε να ενημερώνετε τακτικά το λογισμικό προστασίας από ιούς για να βεβαιωθείτε ότι είναι εξοπλισμένο για να χειρίζεται νέες απειλές.
Δείτε επίσης: Το νέο Fog ransomware στοχεύει εκπαιδευτικούς οργανισμούς
Εκπαίδευση: Ένα από τα πιο σημαντικά βήματα για την προστασία από ransomware είναι η εκπαίδευση. Είναι σημαντικό να παραμένετε ενημερωμένοι για τους πιο πρόσφατους τύπους ransomware και τον τρόπο λειτουργίας τους. Οι οργανισμοί θα πρέπει επίσης να εκπαιδεύουν τους υπαλλήλους τους για το πώς να εντοπίζουν και να αποφεύγουν πιθανές επιθέσεις.
Εφαρμογή ισχυρών κωδικών πρόσβασης: Οι αδύναμοι ή εύκολοι κωδικοί πρόσβασης μπορούν να διευκολύνουν τους hackers να αποκτήσουν πρόσβαση στις συσκευές σας και να εγκαταστήσουν ransomware. Είναι σημαντικό να χρησιμοποιείτε ισχυρούς και μοναδικούς κωδικούς πρόσβασης και να ενεργοποιείτε τον έλεγχο ταυτότητας δύο παραγόντων όποτε είναι δυνατόν.
Χρήση VPN: Ένα VPN κρυπτογραφεί τη σύνδεσή σας στο Διαδίκτυο και παρέχει ένα επιπλέον επίπεδο ασφάλειας έναντι επιθέσεων ransomware. Αυτό είναι ιδιαίτερα σημαντικό όταν χρησιμοποιείτε δημόσια δίκτυα Wi-Fi, τα οποία είναι συχνά μη ασφαλή και ευάλωτα σε επιθέσεις στον κυβερνοχώρο.
Πηγή: www.bleepingcomputer.com
