Los actores de amenazas están explotando vulnerabilidades críticas en los servidores de Atlassian para implementar una variante de Linux de cerber ransomware.
Esta explotación, centrado alrededor del CVE-2023-22518 vulnerabilidad, ha expuesto graves debilidades en el servidor y el centro de datos de Atlassian Confluence, permitir a actores maliciosos restablecer Confluence y crear cuentas de administrador con impunidad.
La vulnerabilidad, clasificado con una puntuación CVSS de 9.1, Proporciona a los atacantes acceso ilimitado a los sistemas comprometidos.. Con los nuevos privilegios administrativos, Se ha observado que los ciberdelincuentes aprovechan el complemento de shell web Effluence para ejecutar comandos arbitrarios., lo que en última instancia condujo a la implementación del ransomware Cerber.
Nat Bill, ingeniero de inteligencia de amenazas en Cado, destacó la gravedad de la situación en una reciente informe. Destacó cómo los atacantes utilizan el shell web para descargar y ejecutar Cerber., cifrar archivos bajo la 'confluencia’ propiedad del usuario. A pesar de las limitaciones en el acceso a los datos debido a los privilegios de los usuarios, El ransomware representa una amenaza importante para las organizaciones que dependen de Confluence de Atlassian..
Explicación del despliegue de Cerber
Lo que distingue a este ataque es la estrategia de despliegue de Cerber.. Escrito en C++, el ransomware emplea un cargador sofisticado para recuperar malware adicional basado en C++ desde un servidor de comando y control, antes de borrar sus propias huellas en el huésped infectado. La carga maliciosa cifra archivos indiscriminadamente en el directorio raíz, añadiendo un '.L0CK3D’ extensión y dejar notas de rescate en cada directorio afectado.
Curiosamente, esta campaña revela un regreso a cargas útiles de C++ puro en medio de una tendencia que favorece lenguajes multiplataforma como Golang y Rust.. Si bien Cerber no es nuevo, su integración con las vulnerabilidades de Atlassian demuestra un panorama de amenazas en evolución donde las cepas de ransomware establecidas se adaptan para explotar objetivos de alto valor..
Bill advirtió que a pesar de las capacidades de Cerber, su impacto puede mitigarse mediante prácticas sólidas de copia de seguridad de datos. En sistemas bien configurados, El alcance del ransomware podría contenerse., Reducir el incentivo para que las víctimas paguen rescates.. Sin embargo, el contexto más amplio revela una tendencia preocupante en la evolución del ransomware, con nuevas variantes como Evil Ant, holafuego, y otros dirigidos a servidores Windows y VMware ESXi.
Siguen apareciendo variantes personalizadas de ransomware
Por otra parte, La filtración de códigos fuente de ransomware como LockBit ha permitido a los actores de amenazas crear variantes personalizadas como Lambda., Mordor, y zgut, agregando capas de complejidad a un panorama de ciberseguridad que ya es terrible. El análisis de Kaspersky del LockBit filtrado 3.0 Los archivos del constructor revelaron una simplicidad alarmante en la creación de ransomware personalizado capaz de propagarse en toda la red y tácticas de evasión sofisticadas..
También cabe destacar que este no es el primer caso de operadores de ransomware. explotando CVE-2023-22518 y vulnerabilidades de Atlassian.