Cibercriminosos exploram as vulnerabilidades do Windows PrintNightmare

Pesquisadores de cibersegurança identificaram que grupos criminosos de hackers estão usando vulnerabilidades de execução remota de código no Windows Print Spooler para infectar suas vítimas com ransomware. Grupos como Vice Society e Magniber estão aproveitando a vulnerabilidade conhecida como PrintNightmare para atingir seus alvos. Os pesquisadores de segurança suspeitam que mais grupos deverão se aproveitar da vulnerabilidade, segundo o ZDNet.

O Windows Print Spooler é um serviço padrão habilitado para todos os clientes Windows, usado para copiar dados entre dispositivos para gerenciar trabalhos de impressão. Segundos pesquisadores de cibersegurança, os invasores aproveitam as vulnerabilidades do serviço para executar código arbitrário, permitindo que instalem programas, modifiquem, alterem e excluam dados, criem novas contas com direitos totais de usuário e movam-se lateralmente pelas redes.

Pesquisadores da Cisco Tales identificaram o Vice Society como um dos grupos que está se aproveitando dessas vulnerabilidades do Windows Print Spooler. Esse grupo, conhecido por explorar rapidamente novas vulnerabilidades, é relativamente novo no espaço do ransomware, surgindo pela primeira vez em junho com campanhas manuais contra seus alvos.

“O uso da vulnerabilidade conhecida como PrintNightmare mostra que os adversários estão prestando muita atenção e irão incorporar rapidamente novas ferramentas que consideram úteis para vários fins durante seus ataques”, escreveram os pesquisadores do Cisco Talos em um blog. “Vários agentes de ameaças distintos estão agora tirando proveito do PrintNightmare, e essa adoção provavelmente continuará a aumentar enquanto for eficaz”.

O Vice Society usa ataques de extorsão dupla, roubando dados das vítimas e ameaçando publicá-los se o resgate não for pago, sobretudo em vítimas de pequeno e médio porte, principalmente escolas e outras instituições educacionais, disseram os pesquisadores.

A equipe de segurança cibernética da Crowdstrike identificou que o grupo de cibercriminosos de ransomware Magniber também vem explorando ativamente as vulnerabilidades do PrintNightmare. Esta operação de ransomware está ativa e introduzindo novos recursos e métodos de ataque desde 2017 e inicialmente usou malvertising para espalhar ataques. Depois, o grupo passou a aproveitar as vulnerabilidades de segurança não corrigidas em software, como Internet Explorer e Flash, com a maioria dos seus ataques focados na Coreia do Sul.

Agora, de acordo com pesquisadores de segurança cibernética da Crowdstrike, o ransomware Magniber está usando o PrintNightmare em campanhas.

“CrowdStrike estima que a vulnerabilidade PrintNightmare junto com a implantação de ransomware provavelmente continuará a ser explorada por outros atores de ameaças”, disse Liviu Arsene, diretor de Pesquisa e Relatórios de Ameaças da Crowdstrike. “Nós encorajamos as organizações a sempre aplicar os patches e atualizações de segurança mais recentes para mitigar vulnerabilidades conhecidas e aderir às melhores práticas de segurança para fortalecer sua postura de segurança contra ameaças e adversários sofisticados”, acrescentou.

(Com informações de ZDNet)

Infoeconomico

Fonte: Computer Word