Geng Ransomware Mengeksploitasi Kerentanan Windows Print Spooler

  • Whatsapp
Geng Ransomware Mengeksploitasi Kerentanan Windows Print Spooler

Operator Ransomware seperti Magniber dan Vice Society secara aktif mengeksploitasi kerentanan di Windows Print Spooler untuk mengkompromikan korban dan menyebar secara lateral di seluruh jaringan korban untuk menyebarkan muatan enkripsi file pada sistem yang ditargetkan.

“Beberapa pelaku ancaman yang berbeda melihat kerentanan ini sebagai hal yang menarik untuk digunakan selama serangan mereka dan mungkin menunjukkan bahwa kerentanan ini akan terus melihat adopsi dan penggabungan yang lebih luas oleh berbagai musuh yang bergerak maju,” Cisco Talos dikatakan dalam sebuah laporan yang diterbitkan Kamis, menguatkan sebuah analisis independen dari CrowdStrike, yang mengamati contoh infeksi ransomware Magniber yang menargetkan entitas di Korea Selatan.

Bacaan Lainnya

Tim Stack Overflow

Sementara ransomware Magniber pertama kali terlihat pada akhir 2017 yang memilih korban di Korea Selatan melalui kampanye malvertising, Vice Society adalah pendatang baru yang muncul di lanskap ransomware pada pertengahan 2021, terutama menargetkan distrik sekolah umum dan lembaga pendidikan lainnya. Serangan itu dikatakan telah terjadi setidaknya sejak 13 Juli.

Sejak Juni, serangkaian masalah “PrintNightmare” yang memengaruhi layanan spooler cetak Windows telah terungkap yang dapat mengaktifkan eksekusi kode jarak jauh ketika komponen melakukan operasi file yang diistimewakan –

  • CVE-2021-1675 – Kerentanan Eksekusi Kode Jarak Jauh Windows Print Spooler (Ditambal pada 8 Juni)
  • CVE-2021-34527 – Kerentanan Eksekusi Kode Jarak Jauh Windows Print Spooler (Ditambal pada 6-7) Juli
  • CVE-2021-34481 – Kerentanan Eksekusi Kode Jarak Jauh Windows Print Spooler (Ditambal pada 10 Agustus)
  • CVE-2021-36936 – Kerentanan Eksekusi Kode Jarak Jauh Windows Print Spooler (Ditambal pada 10 Agustus)
  • CVE-2021-36947 – Kerentanan Eksekusi Kode Jarak Jauh Windows Print Spooler (Ditambal pada 10 Agustus)
  • CVE-2021-34483 – Windows Print Spooler Elevation of Privilege Vulnerability (Ditambal pada 10 Agustus)
  • CVE-2021-36958 – Kerentanan Eksekusi Kode Jarak Jauh Windows Print Spooler (Belum Ditambal)

CrowdStrike mencatat bahwa ia berhasil mencegah upaya yang dilakukan oleh geng ransomware Magniber dalam mengeksploitasi kerentanan PrintNightmare.

Mencegah Pelanggaran Data

Vice Society, di sisi lain, memanfaatkan berbagai teknik untuk melakukan penemuan dan pengintaian pasca-kompromi sebelum melewati perlindungan Windows asli untuk pencurian kredensial dan eskalasi hak istimewa.

Ransomware

Secara khusus, penyerang diyakini telah menggunakan perpustakaan berbahaya yang terkait dengan cacat PrintNightmare (CVE-2021-34527) untuk berporos ke beberapa sistem di seluruh lingkungan dan mengekstrak kredensial dari korban.

“Musuh terus menyempurnakan pendekatan mereka terhadap siklus serangan ransomware karena mereka berusaha untuk beroperasi lebih efektif, efisien, dan mengelak,” kata para peneliti. “Penggunaan kerentanan yang dikenal sebagai PrintNightmare menunjukkan bahwa musuh memperhatikan dan akan dengan cepat memasukkan alat baru yang mereka anggap berguna untuk berbagai tujuan selama serangan mereka.”

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *