12/05/23
Службы кибербезопасности и разведки США предупредили о ряде вымогательских атак, которые проводит киберпреступная группировка Bl00dy. Целью злоумышленников стали уязвимые серверы PaperCut в секторе образовательных учреждений, пишет Securitylab.
Атаки произошли в начале мая 2023 года, сообщили в Федеральном бюро расследований (ФБР) и Агентстве по кибербезопасности и инфраструктурной безопасности (CISA) в совместном отчёте, опубликованном в четверг.
«Банда вымогателей Bl00dy получила доступ к сетям жертв в подсекторе образовательных учреждений, где серверы PaperCut были доступны из интернета и всё ещё уязвимы для эксплуатации CVE-2023-27350», — говорится в документе.
«В результате некоторые из этих операций привели к похищению данных и шифрованию систем жертв. Хакеры Bl00dy оставляли записки с требованием выкупа за восстановление зашифрованных файлов».
CVE-2023-27350 — это критическая уязвимость безопасности, которая затрагивает некоторые версии PaperCut MF и NG, позволяя удалённому злоумышленнику обойти аутентификацию и выполнить произвольный код на целевом устройстве.
Различные хакерские группировки эксплуатировали эту уязвимость с середины апреля этого года, используя её для развертывания законного программного обеспечения для удалённого управления и обслуживания (RMM) и применяя его для доставки дополнительных вредоносных программ, таких как Cobalt Strike, Beacons, DiceLoader и TrueBot на скомпрометированные системы.
Microsoft в одном из своих недавних отчётов связала активное использование уязвимостей PaperCut с группировками Clop и LockBit. А позже компания сообщила , что к атакам присоединились и иранские хакеры, которых специалисты Microsoft отслеживают под идентификаторами Mango Sandstorm и Mint Sandstorm.
