Um alerta foi emitido por agências de segurança cibernética e inteligência dos EUA sobre ataques realizados por um agente de ameaças conhecido como Bl00dy Ransomware Gang. De acordo com o alerta, esse ransomware tenta explorar servidores PaperCut vulneráveis ??contra o setor de instalações educacionais no país.
De acordo com as informações do Federal Bureau of Investigation (FBI) e a Cybersecurity and Infrastructure Security Agency (CISA), os ataques ocorreram no início de maio de 2023.
A gangue Bl00dy Ransomware obteve acesso às redes de vítimas em todo o subsetor de instalações educacionais, onde os servidores PaperCut vulneráveis ????ao CVE-2023-27350 foram expostos à Internet.
Em última análise, algumas dessas operações levaram à exfiltração de dados e à criptografia dos sistemas das vítimas. A gangue Bl00dy Ransomware deixou notas de resgate nos sistemas das vítimas exigindo pagamento em troca da descriptografia dos arquivos criptografados.
Falha do PaperCut é explorada pelo ransomware Bl00dy
CVE-2023-27350 é uma falha de segurança crítica agora corrigida que afeta algumas versões do PaperCut MF e NG que permite que um ator remoto ignore a autenticação e conduza a execução remota de código nas seguintes instalações afetadas.
A exploração maliciosa da vulnerabilidade foi observada desde meados de abril de 2023, com ataques principalmente armados para implantar software legítimo de gerenciamento e manutenção remota (RMM) e usar a ferramenta para descartar cargas adicionais, como Cobalt Strike Beacons, DiceLoader e TrueBot em comprometidos sistemas.
A divulgação
A divulgação ocorre quando a empresa de segurança cibernética eSentire descobriu uma nova atividade visando um cliente não identificado do setor educacional que envolveu a exploração de CVE-2023–27350 para descartar um minerador de criptomoeda XMRig.
A falha está sendo explorada pelo ransomware e é uma ameça ao setor educacional. Além disso, esse setor recebeu outros ataques, revelados na última semana pela Microsoft.
Ataques contra servidores de gerenciamento de impressão PaperCut também foram implantados pelos grupos de ameaças patrocinados pelo estado iraniano Mango Sandstorm (também conhecido como MuddyWater ou Mercury) e Mint Sandstorm (também conhecido como Phosphorus), revelou a Microsoft na semana passada.
Esperamos que essa falha seja corrigida e o setor educacional fique livre desses ataques direcionados, usando esse ransomware e outros. Os cibercriminosos buscam diariamente por pequenas brechas para praticarem os seus golpes digitais e, essas brechas precisam ser fechadas, para que os usuários fiquem livres desses ataques diários.
As empresas precisam intensificar a segurança online e lançar correções de segurança o quanto antes, quando descobrirem uma falha.