Trusselsaktører udnytter kritiske sårbarheder i Atlassian-servere til at implementere en Linux-variant af Cerber ransomware.
Denne udnyttelse, centreret omkring CVE-2023-22518 sårbarhed, har afsløret alvorlige svagheder i Atlassian Confluence Data Center og Server, tillader ondsindede aktører at nulstille Confluence og oprette administratorkonti ustraffet.
Sårbarheden, vurderet til en CVSS-score på 9.1, giver angribere uhindret adgang til kompromitterede systemer. Med de nyfundne administrative privilegier, cyberkriminelle er blevet observeret ved at udnytte Effluence web shell plugin til at udføre vilkårlige kommandoer, i sidste ende fører til implementeringen af Cerber ransomware.
Nate Bill, en trusselsefterretningsingeniør hos Cado, fremhævede situationens alvor i en nylig rapport. Han understregede, hvordan angribere bruger web-skallen til at downloade og udføre Cerber, kryptering af filer under 'confluence'’ brugers ejerskab. På trods af begrænsninger i dataadgang på grund af brugerrettigheder, ransomwaren udgør en væsentlig trussel mod organisationer, der er afhængige af Atlassians Confluence.
Cerbers implementering forklaret
Det, der adskiller dette angreb, er Cerbers implementeringsstrategi. Skrevet i C++, ransomwaren anvender en sofistikeret loader til at hente yderligere C++-baseret malware fra en kommando-og-kontrol-server, før de sletter sine egne spor på den inficerede vært. Den ondsindede nyttelast krypterer filer vilkårligt på tværs af rodmappen, ved at tilføje en '.L0CK3D’ forlængelse og efterlade løsesumsedler i hver berørt mappe.
Interessant, denne kampagne afslører et skift tilbage til rene C++ nyttelaster midt i en trend, der favoriserer sprog på tværs af platforme som Golang og Rust. Mens Cerber ikke er ny, dets integration med Atlassian-sårbarheder demonstrerer et trusselslandskab i udvikling, hvor etablerede ransomware-stammer tilpasser sig for at udnytte mål af høj værdi.
Bill advarede om det på trods af Cerbers evner, dens indvirkning kan afbødes af robuste metoder til sikkerhedskopiering af data. I velkonfigurerede systemer, ransomwarens rækkevidde kunne være indeholdt, reducere ofrenes incitament til at betale løsesummer. Men, den bredere kontekst afslører en bekymrende tendens til udvikling af ransomware, med nye varianter som Evil Ant, Hej Fire, og andre rettet mod Windows- og VMware ESXi-servere.
Skræddersyede varianter af Ransomware fortsætter med at dukke op
Desuden, lækagen af ransomware-kildekoder som LockBit har givet trusselsaktører mulighed for at lave skræddersyede varianter såsom Lambda, Mordor, og Zgut, tilføjer lag af kompleksitet til et i forvejen forfærdeligt cybersikkerhedslandskab. Kasperskys analyse af den lækkede LockBit 3.0 builder-filer afslørede alarmerende enkelhed ved at skabe tilpasset ransomware, der er i stand til netværksdækkende udbredelse og sofistikerede undvigelsestaktik.
Det er også bemærkelsesværdigt, at dette ikke er det første tilfælde af ransomware-operatører udnytter CVE-2023-22518 og Atlassian-sårbarheder.