Os agentes de ameaças estão explorando servidores Atlassian não corrigidos para implantar uma variante Linux do ransomware Cerber (também conhecido como C3RB3R).
Os ataques aproveitam o CVE-2023-22518 (pontuação CVSS: 9,1), uma vulnerabilidade crítica de segurança que afeta o knowledge heart e o servidor Atlassian Confluence e que permite que um invasor não autenticado redefina o Confluence e crie uma conta de administrador.
Armado com esse acesso, um agente de ameaça poderá assumir o controle dos sistemas afetados, levando a uma perda complete de confidencialidade, integridade e disponibilidade.
De acordo com a empresa de segurança em nuvem Cado, grupos de crimes cibernéticos com motivação financeira foram observados abusando da conta de administrador recém-criada para instalar o plugin Effluence net shell e permitir a execução de comandos arbitrários no host.
“O invasor usa esse net shell para baixar e executar a carga primária do Cerber”, disse Nate Invoice, engenheiro de inteligência de ameaças da Cado, em um relatório compartilhado com o The Hacker Information.
“Em uma instalação padrão, o aplicativo Confluence é executado como o usuário 'confluence', um usuário de baixo privilégio. Como tal, os dados que o ransomware é capaz de criptografar são limitados aos arquivos de propriedade do usuário do confluence.”
É importante notar que a exploração do CVE-2023-22518 para implantar o ransomware Cerber foi anteriormente destacada pela Rapid7 em novembro de 2023.
Escrito em C++, a carga primária atua como um carregador para malware adicional baseado em C++, recuperando-os de um servidor de comando e controle (C2) e, em seguida, apagando sua própria presença do host infectado.
Inclui “agttydck.bat”, que é executado para baixar o criptografador (“agttydcb.bat”) que é posteriormente iniciado pela carga primária.
Suspeita-se que o agttydck funcione de forma semelhante a um verificador de permissão do malware, avaliando sua capacidade de gravar em um arquivo /tmp/ck.log. O propósito exato desta verificação não é claro.
O criptografador, por outro lado, percorre o diretório raiz e criptografa todo o conteúdo com uma extensão .L0CK3D. Ele também deixa uma nota de resgate em cada diretório. No entanto, nenhuma exfiltração de dados ocorre, apesar das afirmações em contrário na nota.
O aspecto mais interessante dos ataques é o uso de cargas C++ puras, que estão se tornando uma raridade devido à mudança para linguagens de programação multiplataforma, como Golang e Rust.
“Cerber é uma carga útil de ransomware relativamente sofisticada, embora antiga”, disse Invoice. “Embora o uso da vulnerabilidade do Confluence permita comprometer uma grande quantidade de sistemas prováveis de alto valor, muitas vezes os dados que ela é capaz de criptografar serão limitados apenas aos dados do Confluence e, em sistemas bem configurados, será feito backup deles.”
“Isso limita muito a eficácia do ransomware na extração de dinheiro das vítimas, pois há muito menos incentivo para pagar”, acrescentou o pesquisador.
O desenvolvimento ocorre em meio ao surgimento de novas famílias de ransomware como Evil Ant, HelloFire, L00KUPRU (uma variante de ransomware Xorist), Muliaka (baseado no código de ransomware Conti vazado), Napoli (uma variante de ransomware Chaos), Pink CryptoApp, Risen e SEXO (com base no código vazado do ransomware Babuk) que foram detectados visando servidores Home windows e VMware ESXi.
Os agentes de ransomware também estão aproveitando o código-fonte do ransomware LockBit vazado para gerar suas próprias variantes personalizadas, como Lambda (também conhecido como Synapse), Mordor e Zgut, de acordo com relatórios da FACCT e Kaspersky.
A análise deste último dos arquivos vazados do construtor LockBit 3.0 revelou a “simplicidade alarmante” com a qual os invasores podem criar ransomware sob medida e aumentar suas capacidades com recursos mais potentes.
A Kaspersky disse ter descoberto uma versão personalizada com a capacidade de se espalhar pela rede through PsExec, aproveitando credenciais de administrador roubadas e realizando atividades maliciosas, como encerrar o Microsoft Defender Antivirus e apagar logs de eventos do Home windows para criptografar os dados e cobrir seus rastros. .
“Isso ressalta a necessidade de medidas de segurança robustas, capazes de mitigar esse tipo de ameaça de forma eficaz, bem como a adoção de uma cultura de segurança cibernética entre os funcionários”, afirmou a empresa.