Los ransomware ahora están usando PrintNightmare exploits

Iniciado por AXCESS, Agosto 16, 2021, 11:53:24 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Agosto 16, 2021, 11:53:24 PM Ultima modificación: Agosto 16, 2021, 11:58:51 PM por AXCESS
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Y, como los investigadores de Crowdstrike descubrieron el mes pasado, el magnífico Ransomware Gang ahora está utilizando PrintNightmare exploits para estos fines exactos en los ataques contra las víctimas de Corea del Sur.

"El 13 de julio, se detectó Crowdstrike con éxito y evitó los intentos de explotar la vulnerabilidad PrintNightmare, protegiendo a los clientes antes de que ocurra cualquier cifrado", dijo Liviu Arsene, director de investigación de amenazas e informes de Crowdstrike.

Después de comprometer los servidores sin parchear contra PrintNightmare, Magniber lanza un DLL ofuscado, que se inyecta por primera vez en un proceso y, posteriormente, desempaquetado para lanzarse localmente sobre archivos locales y cifrarlos en el dispositivo comprometido.

A principios de febrero, 2021, Crowdstrike observó que Magniber se entregó a través de Magnitude Exploit Kit (EK) en los dispositivos surcoreanos que ejecutan Internet Explorer sin parchear contra la vulnerabilidad CVE-2020-0968.

Magna Ransomware ha estado activo desde octubre de 2017, cuando se implementó a través de Malvertising utilizando Magnitude Exploit Kit (EK) como el sucesor de Cerber Ransomware.

Si bien inicialmente se centró en las víctimas de Corea del Sur, la pandilla de Magniber pronto amplió sus operaciones en todo el mundo, cambiando objetivos a otros países, incluidos China, Taiwán, Hong Kong, Singapur, Malasia y más.

Magniber ha sido sorprendentemente activo durante los últimos 30 días, con casi 600 presentaciones en la plataforma ID Ransomware.

Se espera que más grupos de amenazas agreguen PrintNightmare a sus arsenales

En este momento, solo tenemos evidencia de que la pandilla de Ransomware Magniber está utilizando Exploits PrintNightmare en la naturaleza para apuntar a las posibles víctimas.

Sin embargo, otros atacantes (incluidos los grupos de ransomware) probablemente se unirán a (si aún no lo han hecho), viendo que hay otros informes  "in-the-wild" sobre la explotación de PrintNightmare.

"Crowdstrike estima que la vulnerabilidad de PrintNightmare, junto con el despliegue del ransomware, probablemente seguirá siendo explotado por otros actores de amenaza", concluyó Arsene.

Fuente:
BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Imprimir
Ir Arriba Páginas1
Acciones del Usuario