Le ransomware Vice Society rejoint les attaques PrintNightmare en cours

0

Le gang de ransomware Vice Society exploite désormais également activement la vulnérabilité PrintNightmare du spouleur d’impression Windows pour le mouvement latéral à travers les réseaux de leurs victimes.

PrintNightmare est un ensemble de failles de sécurité récemment révélées (identifiées sous les noms CVE-2021-1675, CVE-2021-34527 et CVE-2021-36958) qui affectent le service Windows Print Spooler, les pilotes d’impression Windows et la fonctionnalité Windows Point and Print.

Microsoft a publié des mises à jour de sécurité pour résoudre les bogues CVE-2021-1675 et CVE-2021-34527 en Juin, Juillet et Août, et a également publié un avis de sécurité avec une solution de contournement pour CVE-2021-36958 (un bug zero-day permettant l’élévation des privilèges).

Les attaquants peuvent abuser de cet ensemble de failles de sécurité pour l’élévation des privilèges locaux ou la distribution de logiciels malveillants en tant qu’administrateurs de domaine Windows via l’exécution de code à distance avec des privilèges SYSTEM.

PrintNightmare ajouté à l’arsenal de Vice Society

Récemment, des chercheurs de Cisco Talos ont observé des opérateurs de ransomware de Vice Society déployer une bibliothèque de liens dynamiques malveillante pour exploiter deux failles PrintNightmare (CVE-2021-1675 et CVE-2021-34527).

Le ransomware Vice Society (probablement un spin-off de HelloKitty) crypte les systèmes Windows et Linux à l’aide d’OpenSSL (AES256 + secp256k1 + ECDSA), comme l’a découvert l’expert en ransomware Michael Gillespie à la mi-juin lorsque les premiers échantillons ont fait surface.

Le gang de Vice Society cible principalement les victimes de petite ou moyenne taille dans les attaques à double extorsion opérées par l’homme, avec un accent notable sur les districts scolaires publics et d’autres établissements d’enseignement.

Cisco Talos a également dressé une liste des tactiques, techniques et procédures préférées de Vice Society, y compris la suppression des sauvegardes pour empêcher les victimes de restaurer des systèmes cryptés et de contourner les protections Windows pour le vol d’informations d’identification et l’élévation des privilèges.

« Ils exploitent rapidement de nouvelles vulnérabilités pour le mouvement latéral et la persistance sur le réseau d’une victime », a déclaré Cisco Talos.

« Ils tentent également d’être innovants sur les contournements de réponse de détection de point final » et « exploitent un site de fuite de données, qu’ils utilisent pour publier les données exfiltrées des victimes qui choisissent de ne pas payer leurs demandes d’extorsion ».

PrintNightmare activement exploité par plusieurs groupes de pirates

Les gangs de ransomware Conti et Magniber utilisent également les exploits PrintNightmare pour compromettre les serveurs Windows non corrigés.

Les tentatives de Magniber d’exploiter les vulnérabilités du spouleur d’impression Windows lors d’attaques contre des victimes sud-coréennes ont été détectées par Crowdstrike à la mi-juin.

Les rapports d’exploitation de PrintNightmare dans la nature [1, 2, 3] sont arrivés lentement depuis que la vulnérabilité a été signalée pour la première fois et que des exploits de preuve de concept ont été divulgués.

« Plusieurs pirates informatiques distincts profitent désormais de PrintNightmare, et cette adoption continuera probablement d’augmenter tant qu’elle sera efficace », a ajouté Cisco Talos.

« L’utilisation de la vulnérabilité connue sous le nom de PrintNightmare montre que les adversaires sont très attentifs et intégreront rapidement de nouveaux outils qu’ils trouveront utiles à diverses fins lors de leurs attaques. »

Pour vous défendre contre ces attaques en cours, vous devez appliquer tous les correctifs PrintNightmare disponibles dès que possible et implémenter les solutions de contournement fournies par Microsoft pour la faille zero-day CVE-2021-36958 afin de supprimer le vecteur d’attaque.

Laisser un commentaire