Os agentes de ameaças estão explorando vulnerabilidades críticas nos servidores Atlassian para implantar uma variante Linux do Cerber ransomware.
Esta exploração, centrado em torno do CVE-2023-22518 vulnerabilidade, expôs sérias fraquezas no data center e servidor Atlassian Confluence, permitindo que atores mal-intencionados redefinam o Confluence e criem contas de administrador impunemente.
a vulnerabilidade, avaliado com uma pontuação CVSS de 9.1, fornece aos invasores acesso irrestrito a sistemas comprometidos. Com os novos privilégios administrativos, foram observados cibercriminosos aproveitando o plugin Effluence web shell para executar comandos arbitrários, em última análise, levando à implantação do ransomware Cerber.
Nate Bill, engenheiro de inteligência de ameaças na Cado, destacou a gravidade da situação num recente relatório. Ele enfatizou como os invasores usam o web shell para baixar e executar o Cerber, criptografando arquivos sob o 'confluence’ propriedade do usuário. Apesar das limitações no acesso aos dados devido aos privilégios do usuário, o ransomware representa uma ameaça significativa para organizações que dependem do Confluence da Atlassian.
Explicação da implantação do Cerber
O que diferencia este ataque é a estratégia de implantação do Cerber. Escrito em C++, o ransomware emprega um carregador sofisticado para recuperar malware adicional baseado em C++ de um servidor de comando e controle, antes de apagar seus próprios rastros no host infectado. A carga maliciosa criptografa arquivos indiscriminadamente no diretório raiz, anexando um '.L0CK3D’ extensão e deixando notas de resgate em cada diretório afetado.
Curiosamente, esta campanha revela um retorno às cargas úteis C++ puras em meio a uma tendência que favorece linguagens de plataforma cruzada como Golang e Rust. Embora Cerber não seja novo, sua integração com as vulnerabilidades da Atlassian demonstra um cenário de ameaças em evolução, onde cepas de ransomware estabelecidas se adaptam para explorar alvos de alto valor.
Bill advertiu que apesar das capacidades da Cerber, seu impacto pode ser mitigado por práticas robustas de backup de dados. Em sistemas bem configurados, o alcance do ransomware pode ser contido, reduzindo o incentivo para as vítimas pagarem resgates. Contudo, o contexto mais amplo revela uma tendência preocupante de evolução do ransomware, com novas variantes como Evil Ant, Olá Fogo, e outros direcionados a servidores Windows e VMware ESXi.
Variantes personalizadas de ransomware continuam a surgir
Além disso, o vazamento de códigos-fonte de ransomware como o LockBit capacitou os agentes de ameaças a criar variantes personalizadas, como o Lambda, Mordor, e Zgut, adicionando camadas de complexidade a um cenário de segurança cibernética já terrível. Análise da Kaspersky do LockBit vazado 3.0 Os arquivos do construtor revelaram uma simplicidade alarmante na criação de ransomware personalizado, capaz de propagação em toda a rede e táticas de evasão sofisticadas.
Vale ressaltar também que este não é o primeiro caso de operadores de ransomware explorando CVE-2023-22518 e vulnerabilidades da Atlassian.