Les acteurs malveillants exploitent les vulnérabilités critiques des serveurs Atlassian pour déployer une variante Linux de Cerber ransomware.
Cette exploitation, centré autour du CVE-2023-22518 vulnérabilité, a révélé de graves faiblesses dans le centre de données et le serveur Atlassian Confluence, permettre à des acteurs malveillants de réinitialiser Confluence et de créer des comptes d'administrateur en toute impunité.
La vulnérabilité, évalué à un score CVSS de 9.1, fournit aux attaquants un accès illimité aux systèmes compromis. Avec les nouveaux privilèges administratifs, des cybercriminels ont été observés en train d'exploiter le plugin Web Shell Effluence pour exécuter des commandes arbitraires, conduisant finalement au déploiement du ransomware Cerber.
Nate Bill, un ingénieur en renseignement sur les menaces chez Cado, a souligné la gravité de la situation lors d'une récente rapport. Il a souligné comment les attaquants utilisent le shell Web pour télécharger et exécuter Cerber., chiffrer des fichiers sous la 'confluence’ propriété de l'utilisateur. Malgré les limitations d'accès aux données dues aux privilèges des utilisateurs, le ransomware constitue une menace importante pour les organisations qui s'appuient sur Confluence d'Atlassian.
Le déploiement de Cerber expliqué
Ce qui distingue cette attaque, c'est la stratégie de déploiement de Cerber. Écrit en C++, le ransomware utilise un chargeur sophistiqué pour récupérer des logiciels malveillants supplémentaires basés sur C++ à partir d'un serveur de commande et de contrôle, avant d'effacer ses propres traces sur l'hôte infecté. La charge utile malveillante chiffre les fichiers sans discernement dans le répertoire racine, ajouter un '.L0CK3D’ extension et laisser des notes de rançon dans chaque répertoire concerné.
Intéressant, cette campagne révèle un retour aux charges utiles C++ pures au milieu d'une tendance favorisant les langages multiplateformes comme Golang et Rust. Alors que Cerber n'est pas nouveau, son intégration avec les vulnérabilités d'Atlassian démontre un paysage de menaces en évolution où les souches de ransomwares établies s'adaptent pour exploiter des cibles de grande valeur.
Bill a prévenu que malgré les capacités de Cerber, son impact peut être atténué par des pratiques robustes de sauvegarde des données. Dans des systèmes bien configurés, la portée du ransomware pourrait être contenue, réduire l’incitation des victimes à payer des rançons. Cependant, le contexte plus large révèle une tendance inquiétante dans l’évolution des ransomwares, avec de nouvelles variantes comme Evil Ant, BonjourFeu, et d'autres ciblant les serveurs Windows et VMware ESXi.
Des variantes sur mesure de Ransomware continuent d’émerger
En outre, la fuite de codes sources de ransomwares comme LockBit a permis aux acteurs malveillants de créer des variantes sur mesure telles que Lambda, Mordor, et Zgut, ajouter des couches de complexité à un paysage de cybersécurité déjà désastreux. Analyse de Kaspersky sur le LockBit divulgué 3.0 Les fichiers du constructeur ont révélé une simplicité alarmante dans la création de ransomwares personnalisés capables de se propager à l'échelle du réseau et de tactiques d'évasion sophistiquées..
Il convient également de noter que ce n'est pas le premier cas d'opérateurs de ransomware exploitant CVE-2023-22518 et vulnérabilités Atlassian.