Geng Ransomware Bl00dy Menyerang Sektor Pendidikan dengan Kerentanan PaperCut yang Kritis
12 Mei 2023Ravie LakshmananKerentanan / Ransomware
Badan keamanan siber dan intelijen AS telah memperingatkan serangan yang dilakukan oleh aktor ancaman yang dikenal sebagai Geng Ransomware Bl00dy yang berupaya mengeksploitasi server PaperCut yang rentan terhadap sektor fasilitas pendidikan di negara tersebut.
Serangan tersebut terjadi pada awal Mei 2023, kata Biro Investigasi Federal (FBI) dan Badan Keamanan Siber dan Infrastruktur (CISA) dalam nasihat keamanan siber bersama yang dikeluarkan pada hari Kamis.
“Geng Ransomware Bl00dy memperoleh akses ke jaringan korban di seluruh Subsektor Fasilitas Pendidikan tempat server PaperCut yang rentan terhadap CVE-2023-27350 terpapar ke internet,” kata lembaga tersebut.
“Pada akhirnya, beberapa operasi ini menyebabkan eksfiltrasi data dan enkripsi sistem korban. Geng Bl00dy Ransomware meninggalkan catatan tebusan pada sistem korban yang menuntut pembayaran sebagai imbalan atas dekripsi file terenkripsi.”
Selain itu, pelaku Bl00dy dikatakan telah menggunakan TOR dan proxy lain dari dalam jaringan korban untuk komunikasi eksternal dalam upaya menutupi lalu lintas berbahaya dan menghindari deteksi.
CVE-2023-27350 adalah kelemahan keamanan penting yang kini telah ditambal yang memengaruhi beberapa versi PaperCut MF dan NG yang memungkinkan aktor jarak jauh melewati autentikasi dan melakukan eksekusi kode jarak jauh pada instalasi yang terpengaruh berikut ini: 8.0.0 hingga 19.2.7, 20.0. 0 hingga 20.1.6, 21.0.0 hingga 21.2.10, dan 22.0.0 hingga 22.0.8.
Eksploitasi berbahaya terhadap kerentanan telah diamati sejak pertengahan April 2023, dengan serangan yang terutama mempersenjatai kerentanan tersebut dengan menggunakan perangkat lunak manajemen dan pemeliharaan jarak jauh (RMM) yang sah dan menggunakan alat tersebut untuk menjatuhkan muatan tambahan seperti Cobalt Strike Beacons, DiceLoader, dan TrueBot pada sistem yang telah disusupi. sistem.
Pengungkapan ini terjadi ketika perusahaan keamanan siber eSentire menemukan aktivitas baru yang menargetkan pelanggan sektor pendidikan yang tidak disebutkan namanya yang melibatkan eksploitasi CVE-2023-27350 untuk menghentikan penambang mata uang kripto XMRig.
Serangan terhadap server manajemen pencetakan PaperCut juga telah dilakukan oleh kelompok ancaman yang disponsori negara Iran, Mango Sandstorm (alias MuddyWater atau Mercury) dan Mint Sandstorm (alias Phosphorus), ungkap Microsoft pekan lalu.
Apakah artikel ini menarik? Ikuti kami di Twitter dan LinkedIn untuk membaca lebih banyak konten eksklusif yang kami posting.
