Los actores de amenazas están explotando una vulnerabilidad crítica de seguridad en los servidores Atlassian Confluence Data Center y Server CVE-2023-22518 (puntuación de CVSS: 9.1) para implementar una variante de ransomware Linux conocida como Cerber o C3RB3R. La vulnerabilidad permite a un atacante no autenticado reiniciar Confluence y crear una cuenta de administrador, lo que otorga acceso al control de los sistemas afectados y resulta en una pérdida total de confidencialidad, integridad y disponibilidad.
Según Cado, una firma de seguridad en la nube, se han detectado grupos de ciberdelincuentes con motivación financiera abusando de la cuenta de administrador recién creada para instalar el plugin Effluence y permitir la ejecución de comandos arbitrarios en el anfitrión. La amenaza utiliza este web shell para descargar y ejecutar el cargador primario de Cerber, que funciona como un cargador de malware adicional recuperado de un servidor de comando y control (C2), para borrar su presencia del anfitrión infectado.
El cifrador creado en C++ recorre el directorio raíz y cifra todo el contenido con una extensión «.L0CK3D», mientras deja una nota de rescate en cada directorio. Aunque la nota afirma que los datos han sido cifrados, no hay evidencia de ello. Es importante destacar que Rapid7 había alertado en noviembre de 2023 de la explotación de la vulnerabilidad CVE-2023-22518 para el despliegue del ransomware Cerber.
Cerber es un carga de ransomware relativamente sofisticada, aunque envejecida, dijo Nate Bill, ingeniero de inteligencia de amenazas de Cado. Los cargadores escritos en C++ se están volviendo cada vez más raros debido al cambio a lenguajes de programación multiplataforma como Go y Rust. Aunque la explotación de la vulnerabilidad en Confluence le permite comprometer una gran cantidad de sistemas, a menudo los datos que puede cifrar se limitarán solo a los datos de Confluence y en sistemas bien configurados esto estará respaldado. Esto limita la eficacia del ransomware para extraer dinero de las víctimas.
Los actores de ransomware también están aprovechando el código fuente de LockBit para producir sus propias variantes personalizadas. Kaspersky ha descubierto una versión personalizada con la capacidad de propagarse a través de la red mediante PsExec, aprovechando credenciales de administrador robadas y realizando actividades maliciosas, como terminar el antivirus Microsoft Defender y borrar los registros de eventos de Windows para cifrar los datos y encubrir sus huellas. Para mitigar este tipo de amenazas, se requieren medidas de seguridad sólidas y una cultura de ciberseguridad entre los empleados.
Vía The Hacker News