Контакты
Подписка 2025
ТБ Форум 2025
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля | ТБ Форум 2025
Регистрируйтесь и приходите!

Операторы вымогательского ПО уже эксплуатируют уязвимости PrintNightmare в атаках

13/08/21

printnigthmareВымогатели добавили в свой арсенал уязвимости PrintNightmare и теперь атакуют Windows-серверы с целью развертывания на них вымогательского ПО Magniber.

PrintNightmare – класс уязвимостей ( CVE-2021-1675 , CVE-2021-34527 и CVE-2021-36958 ) в диспетчере печати Windows Print Spooler, драйверах Windows и функции Windows Point and Print.

CVE-2021-1675 и CVE-2021-34527 были исправлены Microsoft в июне, июле и августе нынешнего года. В среду, 11 августа, компания также опубликовала уведомление безопасности о CVE-2021-36958 (уязвимость локального повышения привилегий, не исправленная Microsoft).

С помощью этих уязвимостей злоумышленники могут локально повысить свои привилегии и распространять вымогательское ПО в качестве администратора домена Windows путем удаленного выполнения кода с привилегиями системы.

Как обнаружили исследователи из CrowdStrike, операторы вымогательского ПО Magniber теперь эксплуатируют уязвимости PrintNightmare в атаках на жертв в Южной Корее. В частности, 13 июля специалистам CrowdStrike успешно удалось выявить и предотвратить попытки эксплуатации уязвимостей и тем самым не позволить вымогателям зашифровать данные.

Скомпрометировав сервер с неисправленными уязвимостями PrintNightmare, операторы Magniber устанавливают обфусцированный загрузчик DLL, который сначала внедряется в процесс, а затем распаковывается для обхода локальных файлов и шифрования данных на скомпрометированном устройстве.

В феврале 2021 года исследователи CrowdStrike зафиксировали, что вымогательское ПО Magniber доставлялось на атакуемые системы с помощью набора эксплоитов Magnitude EK. Вредонос устанавливался на системы жертв в Южной Корее через уязвимость CVE-2020-0968 в Internet Explorer.

Вымогательское ПО Magniber используется с октября 2017 года. Хотя изначально вредонос атаковал только системы в Южной Корее, вскоре он распространился на Китай, Тайвань, Гонконг, Сингапур, Малайзию и другие страны.

Пока что Magniber – единственная группировка, использующая PrintNightmare в своих атаках. Однако вскоре эксперты прогнозируют появление PoC-эксплоитов, которыми наверняка вооружатся и другие киберпреступные группировки.

Темы:WindowsпринтерыПреступленияВымогатели
Безопасная разработка
Подходы и инструменты управления процессом разработки безопасного программного обеспечения
Регистрируйтесь и приходите! 13 февраля 2025

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Актуальные вопросы защиты информации
12 февраля 2025 | Организатор: ФСТЭК России

Еще темы...

More...