Atores de ameaças estão explorando servidores Atlassian não corrigidos para implantar uma variante Linux do ransomware Cerber (também conhecido como C3RB3R).
Os ataques tiram proveito da
CVE-2023-22518
(pontuação CVSS: 9,1), uma vulnerabilidade crítica de segurança que afeta o Atlassian Confluence Data Center e Server, permitindo que um atacante não autenticado redefina o Confluence e crie uma conta de administrador.
Munidos deste acesso, um ator de ameaça pode assumir o controle dos sistemas afetados, levando a uma perda total de confidencialidade, integridade e disponibilidade.
De acordo com a firma de segurança em nuvem Cado, grupos de cibercrime com motivação financeira foram observados abusando da nova conta de administrador criada para instalar o plugin de web shell Effluence e permitir a execução de comandos arbitrários no host.
"O atacante usa este web shell para baixar e executar a carga primária do Cerber," disse Nate Bill, engenheiro de inteligência de ameaças na Cado, em um relatório compartilhado com o The Hacker News.
"Em uma instalação padrão, a aplicação Confluence é executada como o usuário 'confluence', um usuário de baixo privilégio. Assim, os dados que o ransomware é capaz de criptografar são limitados aos arquivos pertencentes ao usuário confluence."
É importante notar que a exploração do
CVE-2023-22518
para implantar o ransomware Cerber já havia sido destacada pela Rapid7 em novembro de 2023.
Escrito em C++, a carga primária atua como um carregador para malware adicional baseado em C++, recuperando-os de um servidor de comando e controle (C2) e, em seguida, apagando sua própria presença do host infectado.
Inclui "agttydck.bat", que é executado para baixar o criptografador ("agttydcb.bat") que é subsequentemente lançado pela carga primária.
Suspeita-se que agttydck funcione de forma semelhante a um verificador de permissão para o malware, avaliando sua capacidade de escrever no arquivo /tmp/ck.log.
O propósito exato dessa verificação é incerto.
O criptografador, por outro lado, atravessa o diretório raiz e criptografa todo o conteúdo com a extensão .L0CK3D.
Ele também deixa uma nota de resgate em cada diretório.
No entanto, não ocorre exfiltração de dados apesar das alegações contrárias na nota.
O aspecto mais interessante dos ataques é o uso de payloads puras em C++, que estão se tornando algo raras devido à mudança para linguagens de programação multiplataformas, como Golang e Rust.
"Cerber é um payload de ransomware relativamente sofisticada, embora envelhecida," disse Bill.
Enquanto o uso da vulnerabilidade do Confluence permite que ele comprometa uma grande quantidade de sistemas de provável alto valor, muitas vezes os dados que ele é capaz de criptografar serão limitados apenas aos dados do confluence e, em sistemas bem configurados, isso será feito backup.
"Isso limita muito a eficácia do ransomware em extrair dinheiro das vítimas, pois há muito menos incentivo para o pagamento," acrescentou o pesquisador.
O desenvolvimento ocorre em meio ao surgimento de novas famílias de ransomware como Evil Ant, HelloFire, L00KUPRU (uma variante de ransomware Xorist), Muliaka (baseada no código vazado do ransomware Conti), Napoli (uma variante de ransomware Chaos), Red CryptoApp, Risen, e SEXi (baseado no código vazado do ransomware Babuk) que foram avistadas visando servidores Windows e VMware ESXi.
Atores de ransomware também estão aproveitando o código fonte vazado do ransomware LockBit para gerar suas próprias variantes personalizadas como Lambda (também conhecido como Synapse), Mordor, e Zgut, de acordo com relatórios da F.A.C.C.T.
A análise da Kaspersky sobre os arquivos do construtor LockBit 3.0 vazados revelou a "simplicidade alarmante" com que os atacantes podem criar ransomware personalizado e aumentar suas capacidades com recursos mais potentes.
A Kaspersky disse que descobriu uma versão personalizada com a capacidade de se espalhar pela rede via PsExec, aproveitando credenciais de administrador roubadas e realizando atividades maliciosas, como terminar o Microsoft Defender Antivirus e apagar os Logs de Eventos do Windows para criptografar os dados e encobrir seus rastros.
"Isso ressalta a necessidade de medidas de segurança robustas capazes de mitigar esse tipo de ameaça de forma eficaz, bem como a adoção de uma cultura de cibersegurança entre os funcionários," afirmou a empresa.
Publicidade
Em nenhum outro momento você conseguirá pagar tão pouco em um treinamento e certificação Solyd. A Solyd não te oferece um simples curso online. Mas sim uma experiência completa de aulas com três profissionais que vivem e trabalham como um hacker 24 horas por dia, que se dedicam durante todo ano a tirar seus sonhos de criança do papel. Ter algo desse nível era impossível há apenas 10 anos atrás, e hoje conseguimos entregar o melhor programa de educação em hacking do mundo. O melhor dia para começar sempre foi HOJE. Saiba mais...