Bedreigingsactoren maken misbruik van kritieke kwetsbaarheden in Atlassian-servers om een Linux-variant van te implementeren Cerber ransomware.
Deze uitbuiting, gecentreerd rond de CVE-2023-22518 kwetsbaarheid, heeft ernstige zwakke punten in het Atlassian Confluence Data Center en Server blootgelegd, waardoor kwaadwillende actoren Confluence kunnen resetten en ongestraft beheerdersaccounts kunnen maken.
De kwetsbaarheid, beoordeeld op een CVSS-score van 9.1, biedt aanvallers onbelemmerde toegang tot gecompromitteerde systemen. Met de nieuwe beheerdersrechten, Er is waargenomen dat cybercriminelen de Effluence-webshell-plug-in gebruiken om willekeurige opdrachten uit te voeren, wat uiteindelijk leidde tot de inzet van de Cerber-ransomware.
Nate Bill, een ingenieur voor bedreigingsinformatie bij Cado, benadrukte onlangs de ernst van de situatie rapport. Hij benadrukte hoe aanvallers de webshell gebruiken om Cerber te downloaden en uit te voeren, het versleutelen van bestanden onder de 'samenvloeiing’ eigendom van de gebruiker. Ondanks beperkingen in de toegang tot gegevens vanwege gebruikersrechten, de ransomware vormt een aanzienlijke bedreiging voor organisaties die afhankelijk zijn van Atlassian's Confluence.
De inzet van Cerber uitgelegd
Wat deze aanval onderscheidt, is de inzetstrategie van Cerber. Geschreven in C++, De ransomware maakt gebruik van een geavanceerde lader om extra op C++ gebaseerde malware op te halen van een command-and-control-server, voordat het zijn eigen sporen op de geïnfecteerde host wist. De kwaadaardige lading versleutelt bestanden zonder onderscheid in de hoofdmap, het toevoegen van een '.L0CK3D’ extensie en het achterlaten van losgeldbriefjes in elke getroffen map.
belangwekkend, deze campagne onthult een verschuiving terug naar pure C++-payloads te midden van een trend die de voorkeur geeft aan platformonafhankelijke talen zoals Golang en Rust. Terwijl Cerber niet nieuw is, de integratie met Atlassian-kwetsbaarheden demonstreert een evoluerend dreigingslandschap waarin gevestigde ransomware-varianten zich aanpassen om hoogwaardige doelen te exploiteren.
Bill waarschuwde dat ondanks de capaciteiten van Cerber, de impact ervan kan worden verzacht door robuuste praktijken voor gegevensback-up. In goed geconfigureerde systemen, het bereik van de ransomware kan worden ingeperkt, het verminderen van de prikkel voor slachtoffers om losgeld te betalen. Echter, de bredere context onthult een zorgwekkende trend in de evolutie van ransomware, met nieuwe varianten zoals Evil Ant, HalloVuur, en andere gericht op Windows- en VMware ESXi-servers.
Op maat gemaakte varianten van ransomware blijven opduiken
Bovendien, het lekken van ransomware-broncodes zoals LockBit heeft bedreigingsactoren in staat gesteld om op maat gemaakte varianten zoals Lambda te maken, Mordor, en Zgut, het toevoegen van lagen van complexiteit aan een toch al nijpend cyberbeveiligingslandschap. Kaspersky's analyse van de gelekte LockBit 3.0 builder-bestanden onthulden een alarmerende eenvoud bij het creëren van op maat gemaakte ransomware die zich over het hele netwerk kon verspreiden en geavanceerde ontwijkingstactieken.
Het is ook opmerkelijk dat dit niet het eerste geval is van ransomware-exploitanten gebruikmakend van CVE-2023-22518 en Atlassian-kwetsbaarheden.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: