Las agencias de ciberseguridad e inteligencia de EE. UU. advirtieron sobre los ataques llevados a cabo por un actor de amenazas conocido como el Pandilla de ransomware Bl00dy que intentan explotar los servidores vulnerables de PaperCut contra el sector de las instalaciones educativas del país.
Los ataques tuvieron lugar a principios de mayo de 2023, dijeron la Oficina Federal de Investigaciones (FBI) y la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) en un aviso conjunto de ciberseguridad emitido el jueves.
«Bl00dy Ransomware Gang obtuvo acceso a las redes de las víctimas en el subsector de instalaciones educativas donde los servidores PaperCut son vulnerables a CVE-2023-27350 estuvieron expuestos a Internet», las agencias dicho.
«En última instancia, algunas de estas operaciones llevaron a la filtración de datos y el cifrado de los sistemas de las víctimas. Bl00dy Ransomware Gang dejó notas de rescate en los sistemas de las víctimas exigiendo el pago a cambio del descifrado de los archivos cifrados».
CVE-2023-27350 es una falla de seguridad crítica ahora parcheada que afecta a algunas versiones de PaperCut MF y NG que permite a un actor remoto eludir la autenticación y ejecutar la ejecución remota de código en las siguientes instalaciones afectadas.
Se ha observado la explotación maliciosa de la vulnerabilidad desde mediados de abril de 2023, con ataques que la utilizan principalmente como arma para implementar software legítimo de administración y mantenimiento remotos (RMM) y usar la herramienta para colocar cargas adicionales como Cobalt Strike Beacons, DiceLoader y TrueBot en sitios comprometidos. sistemas
La divulgación se produce cuando la firma de ciberseguridad eSentire desenterrado nueva actividad dirigida a un cliente anónimo del sector educativo que involucró la explotación de CVE-2023–27350 para eliminar un minero de criptomonedas XMRig.
Los grupos de amenazas patrocinados por el estado iraní Mango Sandstorm (también conocido como MuddyWater o Mercury) y Mint Sandstorm (también conocido como Phosphorus) también han implementado ataques contra los servidores de administración de impresión de PaperCut, reveló Microsoft la semana pasada.