Una banda de ransomware está pirateando activamente servidores Windows con errores de PrintNightmare

Según los informes, una banda de ransomware está explotando activamente las vulnerabilidades de PrintNightmare en los servidores de Windows sin parches e implementando cargas útiles de Magniber.

PrintNightmare es un conjunto de vulnerabilidades en los servidores de Windows que pueden permitir a un atacante escalar privilegios y ejecutar código malicioso de forma remota. Microsoft ha publicado parches para dos y una solución para una vulnerabilidad ya.

Servidores Windows sin parchear en riesgo

Ciertos servidores de Windows son vulnerables a una amenaza de piratería de grupos de ransomware, que pueden aprovechar las vulnerabilidades de impresión conocidas y desconocidas descubiertas recientemente.

Estas vulnerabilidades rastreadas como CVE-2021-1675, CVE-2021-34527, y CVE-2021-36958, se denominan colectivamente PrintNightmare. Microsoft ha publicado parches de seguridad para CVE-2021-1675 y CVE-2021-34527 en junio, julio y agosto, dejando solo la vulnerabilidad CVE-2021-36958 sin parche.

Sin embargo, ha emitido un aviso de seguridad que sugiere una solución alternativa y pidió a los usuarios que se postularan de inmediato. Pero aquellos que han ignorado ahora son vulnerables a los ataques, según Crowdstrike, que ataques prevenidos contra objetivos en Corea del Sur ya.

Han visto a un grupo de ransomware explotar activamente estas vulnerabilidades en todo el mundo para infiltrarse e inyectar la carga útil de ransomware Magniber. La banda Magniber está en servicio desde 2017 y ha estado atacando a los insectos PrintNightmare desde febrero de este año.

Los piratas informáticos que aprovechan estas vulnerabilidades pueden utilizar privilegios locales escalonados o "distribuir malware como administradores de dominio de Windows a través de la ejecución remota de código (RCE) con privilegios de SISTEMA."

Una vez que los piratas informáticos explotan las vulnerabilidades, implementan un cargador de DLL ofuscado en un proceso que luego se descomprime para realizar un recorrido de archivo local y cifrar archivos en el dispositivo comprometido.

Esta carga útil de Magniber se distribuye principalmente a través de publicidad maliciosa, a través del Magnitude Exploit Kit (EK).

Si bien es solo el grupo de ransomware Magniber que está explotando activamente estas vulnerabilidades, por ahora, es posible que pronto veamos otros grupos de ransomware siguiendo este camino considerando las vulnerabilidades de prueba de concepto publicadas abiertamente.

Por lo tanto, se sugiere actualizar sus sistemas con las actualizaciones de Microsoft disponibles y aplicar soluciones alternativas en el lanzamiento de un parche oficial.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Subir

En boligrafointeligente.com utilizamos cookies. Más información

Previous Next
Close
Test Caption
Test Description goes like this