Flash news

Gli operatori di ransomware sfruttano già le vulnerabilità di PrintNightmare negli attacchi

Il mese scorso ci sono stati tentativi da parte degli operatori del ransomware Magniber di utilizzare PrintNightmare.

Il ransomware ha aggiunto le vulnerabilità di PrintNightmare al suo arsenale e ora sta attaccando i server Windows per distribuire su di essi il ransomware Magniber.

PrintNightmare è una classe di vulnerabilità ( CVE-2021-1675 , CVE-2021-34527 e CVE-2021-36958 ) nello spooler di stampa di Windows, nei driver di Windows e nella funzionalità Point and Print di Windows.

CVE-2021-1675 e CVE-2021-34527 sono stati corretti da Microsoft a giugno, luglio e agosto di quest’anno. Mercoledì 11 agosto la società ha anche pubblicato un avviso di sicurezza per CVE-2021-36958 (una vulnerabilità di escalation dei privilegi locali non corretta da Microsoft).

Utilizzando queste vulnerabilità, gli aggressori possono elevare localmente i propri privilegi e distribuire ransomware come amministratore di dominio Windows eseguendo codice in remoto con privilegi di sistema.

Come scoperto dai ricercatori di CrowdStrike, gli operatori del software estorsione Magniber ora sfruttano le vulnerabilità di PrintNightmare negli attacchi alle vittime in Corea del Sud. In particolare, il 13 luglio, gli specialisti di CrowdStrike hanno identificato e impedito con successo i tentativi di sfruttare le vulnerabilità e quindi impedire al ransomware di crittografare i dati.

Dopo aver compromesso un server con vulnerabilità PrintNightmare prive di patch, gli operatori di Magniber installano un caricatore DLL offuscato che viene prima iniettato nel processo e quindi decompresso per aggirare i file locali e crittografare i dati sul dispositivo compromesso.

Nel febbraio 2021, i ricercatori di CrowdStrike hanno registrato che il ransomware Magniber veniva distribuito a sistemi mirati utilizzando la suite di exploit Magnitude EK. Il malware è stato installato sui sistemi delle vittime in Corea del Sud tramite la vulnerabilità CVE-2020-0968 in Internet Explorer.

Il ransomware Magniber è in uso da ottobre 2017. Sebbene inizialmente il malware abbia attaccato solo i sistemi della Corea del Sud, si è presto diffuso in Cina, Taiwan, Hong Kong, Singapore, Malesia e altri paesi.

Finora, Magniber è l’unica fazione che usa PrintNightmare nei loro attacchi. Tuttavia, gli esperti prevedono presto l’emergere di exploit PoC, con cui è probabile che altri gruppi di criminali informatici si armino.