Operatorzy ransomware Cring wykorzystują 11-letnią lukę Adobe ColdFusion

Nieznana grupa cyberprzestępcza w ciągu kilku minut zdalnie włamała się na serwer z przestarzałą wersją Adobe ColdFusion 9 i przejął nad nim kontrolę, i 79 kilka godzin później wdrożyłem Cring ransomware na serwerze.

Do zbierania grafików i danych księgowych na potrzeby listy płac wykorzystano serwer należący do nienazwanego dostawcy usług, a także hostować szereg maszyn wirtualnych.

Według ekspertom firmy zajmującej się bezpieczeństwem informacji Sophos, ataki zostały przeprowadzone z adresu internetowego należącego do ukraińskiego dostawcy Internetu Zielony Floid.

Starszy pracownik naukowy Sophos Andrzeja Brandta mówi urządzenia z przestarzałymi, podatne oprogramowanie to smakołyk dla hakerów.

jednak, dużym zaskoczeniem jest fakt, że serwer z 11-letnim oprogramowaniem zaatakowanym przez ransomware był aktywnie i codziennie używany. Z zasady, najbardziej narażone są urządzenia nieużywane lub zapomniane “maszyny duchy”.

Po uzyskaniu wstępnego dostępu do serwera, osoby atakujące wykorzystywały różne wyrafinowane metody ukrywania szkodliwych plików, wstrzykiwanie kodu do pamięci, i ukrywanie ataku poprzez nadpisywanie plików uszkodzonymi danymi. Dodatkowo, hakerzy wyłączyli rozwiązania zabezpieczające, wykorzystując fakt, że funkcje antysabotażowe zostały wyłączone.

W szczególności, atakujący wykorzystali luki w przeszukiwaniu katalogów (CVE-2010-2861) w Adobe ColdFusion 9.0.1 i wcześniejsza konsola administracyjna. Luki umożliwiały zdalny odczyt dowolnych plików, w tym pliki zawierające skróty haseł administratora (hasło.właściwości).

W kolejnym etapie ataku, hakerzy wykorzystali jeszcze wcześniejszą lukę w ColdFusion (CVE-2009-3960) przesłać złośliwy arkusz stylów kaskadowych (CSS) plik na atakowany serwer, który z kolei pobrał plik wykonywalny Cobalt Strike Beacon.

Przypomnę, że rozmawialiśmy o tym, że Dziwne złośliwe oprogramowanie uniemożliwia ofiarom odwiedzanie stron pirackich.