Ciberseguridad 360 | Fallo crítico de Atlassian aprovechado para desplegar variante Linux del ransomware Cerber

Hackers est�n explotando servidores Atlassian no parcheados para desplegar una variante Linux del ransomware Cerber (tambi�n conocido como C3RB3R).

Los ataques aprovechan CVE-2023-22518 (puntuaci�n CVSS: 9,1), una vulnerabilidad de seguridad cr�tica que afecta al centro de datos y servidor de Atlassian Confluence y que permite a un atacante no autenticado restablecer Confluence y crear una cuenta de administrador.

Armado con este acceso, un hacker podr�a tomar el control de los sistemas afectados, lo que llevar�a a una p�rdida total de confidencialidad, integridad y disponibilidad.

Seg�n la empresa de seguridad en la nube Cado, se han observado grupos de ciberdelincuentes con motivaciones econ�micas que abusan de la cuenta de administrador reci�n creada para instalar el complemento de shell web Effluence y permitir la ejecuci�n de comandos arbitrarios en el host.

"El atacante utiliza esta shell web para descargar y ejecutar la carga �til principal de Cerber", explica Nate Bill, ingeniero de inteligencia de amenazas de Cado, en un informe compartido con The Hacker News.

"En una instalaci�n por defecto, la aplicaci�n Confluence se ejecuta como el usuario 'confluence', un usuario con pocos privilegios. Como tal, los datos que el ransomware es capaz de cifrar se limitan a los archivos propiedad del usuario confluence."

Vale la pena se�alar que la explotaci�n de CVE-2023-22518 para desplegar el ransomware Cerber fue destacada previamente por Rapid7 en noviembre de 2023.

Escrito en C++, el payload principal act�a como cargador de malware adicional basado en C++, recuper�ndolo de un servidor de comando y control (C2) y borrando despu�s su propia presencia del host infectado.

Incluye "agttydck.bat", que se ejecuta para descargar el encriptador ("agttydcb.bat") que posteriormente lanza la carga �til principal.

Se sospecha que agttydck funciona como un verificador de permisos para el malware, evaluando su capacidad para escribir en un archivo /tmp/ck.log. El prop�sito exacto de esta comprobaci�n no est� claro.

El encriptador, por su parte, atraviesa el directorio ra�z y cifra todos los contenidos con extensi�n .L0CK3D. Tambi�n deja caer una nota de rescate en cada directorio. Sin embargo, no se produce ninguna filtraci�n de datos, a pesar de lo que se afirma en la nota.

El aspecto m�s interesante de los ataques es el uso de cargas �tiles C++ puras, que se est�n convirtiendo en una rareza dado el cambio a lenguajes de programaci�n multiplataforma como Golang y Rust.

"Cerber es una carga �til de ransomware relativamente sofisticada, aunque antigua", afirma Bill. "Aunque el uso de la vulnerabilidad de Confluence le permite comprometer una gran cantidad de sistemas probablemente de alto valor, a menudo los datos que es capaz de cifrar se limitar�n s�lo a los datos de Confluence y en sistemas bien configurados estos estar�n respaldados."

"Esto limita en gran medida la eficacia del ransomware para extraer dinero de las v�ctimas, ya que hay mucho menos incentivo para pagar", a�ade el investigador.

Este hecho se produce en medio de la aparici�n de nuevas familias de ransomware como Evil Ant, HelloFire, L00KUPRU (una variante del ransomware Xorist), Muliaka (basada en el c�digo filtrado del ransomware Conti), Napoli (una variante del ransomware Chaos), Red CryptoApp, Risen y SEXi (basada en el c�digo filtrado del ransomware Babuk) que han sido detectadas atacando servidores Windows y VMware ESXi.

Seg�n informes de F.A.C.C.T. y Kaspersky, los creadores de ransomware tambi�n est�n aprovechando el c�digo fuente filtrado del ransomware LockBit para crear sus propias variantes personalizadas, como Lambda (tambi�n conocido como Synapse), Mordor y Zgut.

El an�lisis de este �ltimo de los archivos de construcci�n de LockBit 3.0 filtrados ha revelado la "alarmante sencillez" con la que los atacantes pueden crear ransomware a medida y aumentar sus capacidades con caracter�sticas m�s potentes.

Kaspersky dijo que descubri� una versi�n a medida con la capacidad de propagarse por la red a trav�s de PsExec aprovechando credenciales de administrador robadas y realizando actividades maliciosas, como la terminaci�n del antivirus Microsoft Defender y el borrado de los registros de eventos de Windows con el fin de cifrar los datos y cubrir sus huellas.

"Esto subraya la necesidad de contar con medidas de seguridad robustas capaces de mitigar este tipo de amenazas de forma eficaz, as� como de adoptar una cultura de ciberseguridad entre los empleados", afirma la compa��a.

Fuente: thehackernews