Bedrohungsakteure nutzen kritische Schwachstellen in Atlassian-Servern aus, um eine Linux-Variante von Cerber Ransomware.
Diese Ausbeutung, zentriert um die CVE-2023-22518 Verwundbarkeit, hat gravierende Schwachstellen im Atlassian Confluence Data Center und Server aufgedeckt, Böswillige Akteure können Confluence zurücksetzen und ungestraft Administratorkonten erstellen..
Die Sicherheitslücke, bewertet mit einem CVSS-Score von 9.1, bietet Angreifern ungehinderten Zugriff auf kompromittierte Systeme. Mit den neu gewonnenen Administratorrechten, Es wurde beobachtet, dass Cyberkriminelle das Effluence-Web-Shell-Plugin nutzten, um beliebige Befehle auszuführen, was letztlich zur Verbreitung der Ransomware Cerber führte.
Nate Bill, ein Threat Intelligence Engineer bei Cado, machte den Ernst der Lage deutlich in einer kürzlichen Bericht. Er betonte, wie Angreifer die Web-Shell verwenden, um Cerber herunterzuladen und auszuführen, Verschlüsseln von Dateien unter dem 'confluence’ Eigentum des Benutzers. Trotz Einschränkungen beim Datenzugriff aufgrund von Benutzerrechten, Die Ransomware stellt eine erhebliche Bedrohung für Organisationen dar, die auf Atlassians Confluence angewiesen sind.
Cerbers Einsatz erklärt
Was diesen Angriff auszeichnet, ist die Einsatzstrategie von Cerber. Geschrieben in C++, Die Ransomware verwendet einen ausgeklügelten Loader, um zusätzliche C++-basierte Malware von einem Command-and-Control-Server abzurufen., bevor es seine eigenen Spuren auf dem infizierten Host löscht. Die schädliche Nutzlast verschlüsselt Dateien wahllos im Stammverzeichnis, Anhängen einer '.L0CK3D’ Erweiterung und hinterlassen Lösegeldforderungen in jedem betroffenen Verzeichnis.
Interessant, Diese Kampagne zeigt eine Rückkehr zu reinen C++-Nutzlasten inmitten eines Trends, der plattformübergreifende Sprachen wie Golang und Rust bevorzugt.. Obwohl Cerber nicht neu ist, Die Integration mit Atlassian-Schwachstellen zeigt eine sich entwickelnde Bedrohungslandschaft, in der sich etablierte Ransomware-Stämme anpassen, um hochwertige Ziele auszunutzen..
Bill warnte, dass trotz Cerbers Fähigkeiten, Die Auswirkungen können durch eine robuste Datensicherung gemildert werden. In gut konfigurierten Systemen, Die Reichweite der Ransomware könnte eingedämmt werden, Verringerung des Anreizes für Opfer, Lösegeld zu zahlen. Jedoch, Der breitere Kontext zeigt einen besorgniserregenden Trend der Ransomware-Entwicklung, mit neuen Varianten wie Evil Ant, Hallo Feuer, und andere, die auf Windows- und VMware ESXi-Server abzielen.
Es tauchen weiterhin maßgeschneiderte Varianten von Ransomware auf
Zudem, Das Durchsickern von Ransomware-Quellcodes wie LockBit hat es Bedrohungsakteuren ermöglicht, maßgeschneiderte Varianten wie Lambda zu entwickeln, Mordor, und Zgut, eine ohnehin schon desolate Cybersicherheitslandschaft wird noch komplexer. Kasperskys Analyse des durchgesickerten LockBit 3.0 Builder-Dateien zeigten, wie einfach es war, maßgeschneiderte Ransomware zu erstellen, die sich netzwerkweit verbreiten und ausgefeilte Umgehungstaktiken anwenden konnte..
Es ist auch bemerkenswert, dass dies nicht der erste Fall von Ransomware-Betreibern ist Ausnutzung von CVE-2023-22518 und Atlassian-Schwachstellen.