Службы кибербезопасности и разведки США предупредили о ряде вымогательских атак, которые проводит киберпреступная группировка Bl00dy. Целью злоумышленников стали уязвимые серверы PaperCut в секторе образовательных учреждений.
Атаки произошли в начале мая 2023 года, сообщили в Федеральном бюро расследований (ФБР) и Агентстве по кибербезопасности и инфраструктурной безопасности (CISA) в совместном отчёте , опубликованном в четверг.
“Банда вымогателей Bl00dy получила доступ к сетям жертв в подсекторе образовательных учреждений, где серверы PaperCut были доступны из интернета и всё ещё уязвимы для эксплуатации CVE-2023-27350 “, – говорится в документе.
“В результате некоторые из этих операций привели к похищению данных и шифрованию систем жертв. Хакеры Bl00dy оставляли записки с требованием выкупа за восстановление зашифрованных файлов”.
CVE-2023-27350– это критическая уязвимость безопасности, которая затрагивает некоторые версии PaperCut MF и NG, позволяя удалённому злоумышленнику обойти аутентификацию и выполнить произвольный код на целевом устройстве.
Различные хакерские группировки эксплуатировали эту уязвимость с середины апреля этого года, используя её для развертывания законного программного обеспечения для удалённого управления и обслуживания (RMM) и применяя его для доставки дополнительных вредоносных программ, таких как Cobalt Strike, Beacons, DiceLoader и TrueBot на скомпрометированные системы.
Microsoft в одном из своих недавних отчётов связала активное использование уязвимостей PaperCut с группировками Clop и LockBit. А позже компания сообщила , что к атакам присоединились и иранские хакеры, которых специалисты Microsoft отслеживают под идентификаторами Mango Sandstorm и Mint Sandstorm.