За атаками на сервера PaperCut стоят банды вымогателей Clop и LockBit

[Artifact]

Специалисты Microsoft рекомендуют клиентам печатного сервиса как можно скорее обновить своё программное обеспечение.

Microsoft связывает недавние атаки на серверы PaperCut с операциями программ-вымогателей Clop и LockBit, которые использовали доступные уязвимости для кражи корпоративных данных.
В прошлом месяце в программном обеспечении PaperCut были исправлены две уязвимости, которые позволяли неавторизованным злоумышленникам удалённо выполнять вредоносный код и раскрывать конфиденциальные данные.
19 апреля представители компании сообщили , что эти уязвимости, маркированные CISA как CVE-2023–27350 и CVE-2023–27351 — активно использовались реальными киберпреступниками, и призвали администраторов срочно обновить свои серверы PaperCut до последней версии.
Всего несколько дней спустя был выпущен PoC-эксплойт для выявленной уязвимости удалённого выполнения кода, что позволило и другим злоумышленникам активно взламывать уязвимые серверы.
Сегодня представители Microsoft Threat Intelligence сообщили в Twitter*, что за атаками на PaperCut стоят банды вымогателей Clop и LockBit, а их главная цель — кража корпоративных данных с уязвимых серверов. В серии опубликованных твитов, специалисты Microsoft заявили, что приписали недавние атаки PaperCut банде вымогателей Clop.
Хакеры Clop стали особенно широко известны после того, как в 2020 году похитили данные около 100 компаний благодаря уязвимости Accellion FTA, а также кражи данных ещё 130 компаний с уязвимых серверов Fortra GoAnywhere уже в этом году.
Исследователи Microsoft сообщили, что в своей последней вредоносной кампании злоумышленники использовал уязвимости PaperCut, для первоначального доступа к корпоративной сети, начиная с 13 апреля. Получив доступ к серверу, хакеры развернули вредоносное ПО TrueBot, которое также связывают с операциями по вымогательству Clop. В конце концов, злоумышленникам удалось развернуть Cobalt Strike и использовать его для горизонтального распространения по сети и кражи данных с помощью приложения для обмена файлами MegaSync.
Помимо Clop, Microsoft заявляет, что некоторые вторжения привели к атакам программ-вымогателей LockBit. Однако неясно, начались ли эти атаки после того, как эксплойты были опубликованы, или ещё до этого.
Исследователи Microsoft, как и сама компания PaperCut, рекомендуют всем организациям, использующим PaperCut MF или NG, немедленно выполнить обновление софта до актуальных версий, чтобы устранить активно эксплуатируемые уязвимости и избежать возможных проблем с безопасностью.