Pandillas de ransomware explotan vulnerabilidades de colas de impresión en Windows

Los operadores de ransomware como Magniber y Vice Society explotan activamente las vulnerabilidades en Windows Print Spooler para comprometer a las víctimas y propagarse lateralmente a través de la red de la víctima para implementar datos de cifrado de archivos en los sistemas objetivo.

«Varios actores de amenazas diferentes encuentran atractiva esta vulnerabilidad para usar durante sus ataques y pueden indicar que esta vulnerabilidad continuará siendo testigo de una mayor aceptación e inclusión por parte de varios adversarios», dijo Cisco Talos en un informe publicado el jueves, que confirma un análisis independiente de CrowdStrike, que observó casos de infecciones de ransomware Magniber dirigidas a entidades en Corea del Sur.

Si bien el ransomware Magniber se vio por primera vez a fines de 2017, seleccionando víctimas en Corea del Sur a través de campañas de malware, Vice Society es un nuevo participante que surgió en el campo del ransomware a mediados de 2021, principalmente dirigido a escuelas públicas y otras instituciones educativas. Se dice que los ataques han tenido lugar al menos desde el 13 de julio.

Desde junio, ha habido una serie de problemas de «PrintNightmare» que afectan a la cola de impresión de Windows que podrían permitir la ejecución remota de código cuando un componente realiza operaciones de archivos con privilegios:

  • CVE-2021-1675 – Vulnerabilidad de ejecución remota de código de cola de impresión de Windows (corregida el 8 de junio)
  • CVE-2021-34527 – Vulnerabilidad de ejecución remota de código de cola de impresión de Windows (corregido el 6 y 7 de julio)
  • CVE-2021-34481 – Vulnerabilidad de ejecución remota de código de cola de impresión de Windows (corregida el 10 de agosto)
  • CVE-2021-36936 – Vulnerabilidad de ejecución remota de código de cola de impresión de Windows (corregida el 10 de agosto)
  • CVE-2021-36947 – Vulnerabilidad de ejecución remota de código de cola de impresión de Windows (corregida el 10 de agosto)
  • CVE-2021-34483 – Vulnerabilidad en Windows Print Spooler (corregida el 10 de agosto)
  • CVE-2021-36958 – Vulnerabilidad de ejecución remota de código de cola de impresión de Windows (sin arreglar)

CrowdStrike señaló que pudo evitar con éxito los intentos de la banda de ransomware Magniber de explotar la vulnerabilidad de PrintNightmare.

Por otro lado, Vice Society utilizó una serie de técnicas para llevar a cabo una detección e investigación posterior al compromiso antes de eludir la protección nativa de Windows para el robo de credenciales y la escalada de autorización.

Secuestro de datos

Específicamente, se cree que el atacante usó una biblioteca maliciosa asociada con el error PrintNightmare (CVE-2021-34527) para abordar múltiples sistemas en el entorno y extraer las credenciales de la víctima.

«Los opositores mejoran constantemente su enfoque del ciclo de vida de los ataques de ransomware mientras se esfuerzan por operar de manera más eficiente, efectiva y evasiva», dijeron los investigadores. «El uso de una vulnerabilidad conocida como PrintNightmare muestra que los enemigos prestan mucha atención e incorporan rápidamente nuevas herramientas que encuentran útiles para varios propósitos durante sus ataques».

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática