Atores de ameaças estão explorando servidores Atlassian não corrigidos para implantar uma variante Linux do ransomware Cerber (também conhecido como C3RB3R).
Os ataques tiram proveito da
CVE-2023-22518
(pontuação CVSS: 9,1), uma vulnerabilidade crítica de segurança que afeta o Atlassian Confluence Data Center e Server, permitindo que um atacante não autenticado redefina o Confluence e crie uma conta de administrador.
Munidos deste acesso, um ator de ameaça pode assumir o controle dos sistemas afetados, levando a uma perda total de confidencialidade, integridade e disponibilidade.
De acordo com a firma de segurança em nuvem Cado, grupos de cibercrime com motivação financeira foram observados abusando da nova conta de administrador criada para instalar o plugin de web shell Effluence e permitir a execução de comandos arbitrários no host.
"O atacante usa este web shell para baixar e executar a carga primária do Cerber," disse Nate Bill, engenheiro de inteligência de ameaças na Cado, em um relatório compartilhado com o The Hacker News.
"Em uma instalação padrão, a aplicação Confluence é executada como o usuário 'confluence', um usuário de baixo privilégio. Assim, os dados que o ransomware é capaz de criptografar são limitados aos arquivos pertencentes ao usuário confluence."
É importante notar que a exploração do
CVE-2023-22518
para implantar o ransomware Cerber já havia sido destacada pela Rapid7 em novembro de 2023.
Escrito em C++, a carga primária atua como um carregador para malware adicional baseado em C++, recuperando-os de um servidor de comando e controle (C2) e, em seguida, apagando sua própria presença do host infectado.
Inclui "agttydck.bat", que é executado para baixar o criptografador ("agttydcb.bat") que é subsequentemente lançado pela carga primária.
Suspeita-se que agttydck funcione de forma semelhante a um verificador de permissão para o malware, avaliando sua capacidade de escrever no arquivo /tmp/ck.log.
O propósito exato dessa verificação é incerto.
O criptografador, por outro lado, atravessa o diretório raiz e criptografa todo o conteúdo com a extensão .L0CK3D.
Ele também deixa uma nota de resgate em cada diretório.
No entanto, não ocorre exfiltração de dados apesar das alegações contrárias na nota.
O aspecto mais interessante dos ataques é o uso de payloads puras em C++, que estão se tornando algo raras devido à mudança para linguagens de programação multiplataformas, como Golang e Rust.
"Cerber é um payload de ransomware relativamente sofisticada, embora envelhecida," disse Bill.
Enquanto o uso da vulnerabilidade do Confluence permite que ele comprometa uma grande quantidade de sistemas de provável alto valor, muitas vezes os dados que ele é capaz de criptografar serão limitados apenas aos dados do confluence e, em sistemas bem configurados, isso será feito backup.
"Isso limita muito a eficácia do ransomware em extrair dinheiro das vítimas, pois há muito menos incentivo para o pagamento," acrescentou o pesquisador.
O desenvolvimento ocorre em meio ao surgimento de novas famílias de ransomware como Evil Ant, HelloFire, L00KUPRU (uma variante de ransomware Xorist), Muliaka (baseada no código vazado do ransomware Conti), Napoli (uma variante de ransomware Chaos), Red CryptoApp, Risen, e SEXi (baseado no código vazado do ransomware Babuk) que foram avistadas visando servidores Windows e VMware ESXi.
Atores de ransomware também estão aproveitando o código fonte vazado do ransomware LockBit para gerar suas próprias variantes personalizadas como Lambda (também conhecido como Synapse), Mordor, e Zgut, de acordo com relatórios da F.A.C.C.T.
A análise da Kaspersky sobre os arquivos do construtor LockBit 3.0 vazados revelou a "simplicidade alarmante" com que os atacantes podem criar ransomware personalizado e aumentar suas capacidades com recursos mais potentes.
A Kaspersky disse que descobriu uma versão personalizada com a capacidade de se espalhar pela rede via PsExec, aproveitando credenciais de administrador roubadas e realizando atividades maliciosas, como terminar o Microsoft Defender Antivirus e apagar os Logs de Eventos do Windows para criptografar os dados e encobrir seus rastros.
"Isso ressalta a necessidade de medidas de segurança robustas capazes de mitigar esse tipo de ameaça de forma eficaz, bem como a adoção de uma cultura de cibersegurança entre os funcionários," afirmou a empresa.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...