Grupos por trás de ransomwares como Magniber e Vice Society estão explorando ativamente vulnerabilidades no Windows Print Spooler para comprometer empresas e corporações, se espalhar lateralmente pela rede e instalar malwares de criptografia de arquivos nos sistemas.
LEIA TAMBÉM: Ao menos 69 empresas brasileiras foram vítimas de ransomware com resgates de até R$ 50 mi
Pesquisadores da Cisco Talos publicaram um relatório em que dizem:
O uso da vulnerabilidade conhecida como PrintNightmare mostra que os adversários estão prestando muita atenção e irão incorporar rapidamente novas ferramentas que consideram úteis para vários fins durante seus ataques.
Vários agentes de ameaças distintos estão se aproveitando do PrintNightmare, e essa adoção provavelmente continuará a aumentar enquanto for eficaz.
O grupo por trás do ransomware Magniber, que está ativo desde 2017, está explorando as vulnerabilidades do PrintNightmare. O Magniber inicialmente usou uma estratégia de malvertising para espalhar ataques e depois passou a aproveitar vulnerabilidades de segurança em softwares sem atualizações como o Internet Explorer e Flash. A maioria dos casos tem acontecido na Coreia do Sul.
Desde junho, uma série de problemas "PrintNightmare" tem afetado o serviço de spooler de impressão do Windows:
CVE-2021-1675 - Vulnerabilidade de execução remota de código no Windows Print Spooler (corrigida em 8 de junho)
CVE-2021-34527 - Vulnerabilidade de execução remota de código no Windows Print Spooler (corrigida em 6 a 7 de julho)
CVE-2021-34481 - Vulnerabilidade de execução remota de código no Windows Print Spooler (corrigida em 10 de agosto)
CVE-2021-36936 - Vulnerabilidade de execução remota de código no Windows Print Spooler (corrigida em 10 de agosto)
CVE-2021-36947 - Vulnerabilidade de execução remota de código no Windows Print Spooler (corrigida em 10 de agosto)
CVE-2021-34483 - Vulnerabilidade de elevação de privilégio no Windows Print Spooler (corrigida em 10 de agosto)
CVE-2021-36958 - Vulnerabilidade de execução remota no Windows Print Spooler (sem patch/atualização)
É provável que outros grupos de cibercriminosos continuem a explorar o PrintNightmare, portanto, a melhor defesa é garantir que seus sistemas estejam sempre atualizados com a última versão. Conforme Liviu Arsene, diretor de pesquisa e relatórios de ameaças da Crowdstrike, afirma:
A vulnerabilidade PrintNightmare junto com a implantação de ransomware provavelmente continuará a ser explorada por outros cibercriminosos.
Nós encorajamos as organizações a sempre aplicar os patches e atualizações de segurança mais recentes para mitigar vulnerabilidades conhecidas e aderir às melhores práticas de segurança para fortalecer sua postura de segurança contra ameaças e adversários sofisticados.
Fontes: ZDNet e The Hacker News
Conheça nossas outras soluções e serviços: NOC & SOC, Zero Trust, Next-Gen Firewalls, LGPD, Hardware, Monitoramento de Rede, Transferência de Arquivos Gerenciada, Consultoria de TIC, Treinamentos, Sustentação de Aplicações, Outsourcing, Licenciamento Geral e Help Desk.