Gli autori delle minacce stanno sfruttando le vulnerabilità critiche nei server Atlassian per distribuirne una variante Linux Cerber ransomware.
Questo sfruttamento, centrato attorno a CVE-2023-22518 vulnerabilità, ha messo in luce gravi debolezze nel data center e nel server Atlassian Confluence, consentendo ad attori malintenzionati di reimpostare Confluence e creare account amministratore impunemente.
La vulnerabilità, valutato con un punteggio CVSS di 9.1, fornisce agli aggressori accesso illimitato ai sistemi compromessi. Con i ritrovati privilegi amministrativi, È stato osservato che i criminali informatici sfruttano il plug-in della web shell Effluence per eseguire comandi arbitrari, portando infine alla distribuzione del ransomware Cerber.
Nate Bill, un ingegnere dell'intelligence sulle minacce a Cado, ha evidenziato in un recente articolo la gravità della situazione rapporto. Ha sottolineato come gli aggressori utilizzino la web shell per scaricare ed eseguire Cerber, crittografare i file sotto la "confluenza".’ proprietà dell'utente. Nonostante le limitazioni nell'accesso ai dati dovute ai privilegi dell'utente, il ransomware rappresenta una minaccia significativa per le organizzazioni che fanno affidamento su Confluence di Atlassian.
Spiegazione dello schieramento di Cerber
Ciò che distingue questo attacco è la strategia di schieramento di Cerber. Scritto in C++, il ransomware utilizza un sofisticato caricatore per recuperare ulteriore malware basato su C++ da un server di comando e controllo, prima di cancellare le proprie tracce sull'host infetto. Il payload dannoso crittografa i file indiscriminatamente nella directory principale, aggiungendo un '.L0CK3D’ estensione e lasciando richieste di riscatto in ciascuna directory interessata.
È interessante notare che, questa campagna rivela un ritorno ai payload C++ puri nel mezzo di una tendenza che favorisce linguaggi multipiattaforma come Golang e Rust. Mentre Cerber non è una novità, la sua integrazione con le vulnerabilità Atlassian dimostra un panorama delle minacce in evoluzione in cui i ceppi di ransomware consolidati si adattano per sfruttare obiettivi di alto valore.
Bill lo ha avvertito nonostante le capacità di Cerber, il suo impatto può essere mitigato da solide pratiche di backup dei dati. In sistemi ben configurati, la portata del ransomware potrebbe essere contenuta, ridurre l’incentivo per le vittime a pagare il riscatto. Tuttavia, il contesto più ampio rivela una tendenza preoccupante nell’evoluzione del ransomware, con nuove varianti come Evil Ant, Ciao Fuoco, e altri destinati ai server Windows e VMware ESXi.
Varianti personalizzate di ransomware continuano a emergere
Inoltre, la fuga di codici sorgente di ransomware come LockBit ha consentito agli autori delle minacce di creare varianti su misura come Lambda, Mordor, e Zgut, aggiungendo livelli di complessità a un panorama di sicurezza informatica già disastroso. L'analisi di Kaspersky del LockBit trapelato 3.0 builder hanno rivelato un'allarmante semplicità nella creazione di ransomware personalizzato in grado di propagarsi su tutta la rete e sofisticate tattiche di evasione.
È anche interessante notare che questo non è il primo caso di operatori di ransomware sfruttando CVE-2023-22518 e vulnerabilità Atlassiane.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: