Microsoft a attribué les attaques récentes sur les serveurs PaperCut aux opérations de ransomware Clop et LockBit, qui ont utilisé les vulnérabilités pour voler des données d’entreprise.
Le mois dernier, deux vulnérabilités ont été corrigées dans le serveur d’applications PaperCut qui permet aux attaquants distants d’exécuter du code à distance non authentifié et de divulguer des informations :
- CVE-2023–27350 / ZDI-CAN-18987 / PO-1216 : Faille d’exécution de code à distance non authentifiée affectant toutes les versions 8.0 ou ultérieures de PaperCut MF ou NG sur toutes les plateformes d’OS, pour les serveurs d’application et de site. (Note CVSS v3.1 : 9,8 – critique)
- CVE-2023–27351 / ZDI-CAN-19226 / PO-1219 : faille de divulgation d’informations non authentifiées affectant toutes les versions PaperCut MF ou NG 15.0 ou ultérieures sur toutes les plates-formes OS pour les serveurs d’applications. (Score CVSS v3.1 : 8,2 – élevé)
Le 19 avril, PaperCut a révélé que ces failles étaient activement exploitées dans la nature, exhortant les administrateurs à mettre à niveau leurs serveurs vers la dernière version.
Un exploit PoC pour la faille RCE a été publié quelques jours plus tard, permettant à d’autres acteurs de la menace de violer les serveurs en utilisant ces exploits.
Gangs de rançongiciels derrière les attaques
Aujourd’hui, Microsoft a révélé que les gangs de rançongiciels Clop et LockBit sont à l’origine de ces attaques PaperCut et les utilisent pour voler des données d’entreprise à partir de serveurs vulnérables.
PaperCut est un logiciel de gestion d’impression compatible avec toutes les principales marques et plates-formes d’imprimantes. Il est utilisé par de grandes entreprises, des organisations d’État et des instituts d’enseignement, le site Web de l’entreprise affirmant qu’il est utilisé par des centaines de millions de personnes dans plus de 100 pays.
Dans une série de tweets publiés mercredi après-midi, Microsoft déclare avoir attribué les récentes attaques PaperCut au gang de rançongiciels Clop.
« Microsoft attribue les attaques récemment signalées exploitant les vulnérabilités CVE-2023-27350 et CVE-2023-27351 dans le logiciel de gestion d’impression PaperCut pour fournir le rançongiciel Clop à l’acteur malveillant suivi sous le nom de Lace Tempest (chevauchement avec FIN11 et TA505) », a tweeté Microsoft. Chercheurs en Threat Intelligence.
Microsoft suit cet acteur de menace particulier sous le nom de « Lace Tempest », dont l’activité chevauche FIN11 et TA505, tous deux liés à l’opération de rançongiciel Clop.
Microsoft affirme que l’acteur de la menace exploite les vulnérabilités de PaperCut depuis le 13 avril pour un accès initial au réseau de l’entreprise.
Une fois qu’ils ont eu accès au serveur, ils ont déployé le malware TrueBot, qui a également été précédemment lié à l’opération de ransomware Clop.
En fin de compte, Microsoft affirme qu’une balise Cobalt Strike a été déployée et utilisée pour se propager latéralement à travers le réseau tout en volant des données à l’aide de l’application de partage de fichiers MegaSync.
En plus de Clop, Microsoft affirme que certaines intrusions ont conduit à des attaques de ransomware LockBit. Cependant, il n’est pas clair si ces attaques ont commencé après la publication des exploits.
Microsoft recommande aux administrateurs d’appliquer les correctifs disponibles dès que possible, car d’autres acteurs de la menace commenceront probablement à exploiter les vulnérabilités.
Une cible de choix pour Clop
L’exploitation des serveurs PaperCut correspond à un schéma général que nous avons observé avec le gang de rançongiciels Clop au cours des trois dernières années.
Alors que l’opération Clop chiffre toujours les fichiers lors d’attaques, ils ont déclaré à Breachtrace qu’ils préféraient voler des données pour extorquer des entreprises afin qu’elles paient une rançon.
Ce changement de tactique a été observé pour la première fois en 2020 lorsque Clop a exploité une vulnérabilité Zero Day Accellion FTA pour voler les données d’environ 100 entreprises.
Le gang Clop a récemment utilisé les vulnérabilités zero-day de la plate-forme de partage de fichiers sécurisée GoAnywhere MFT pour voler les données de 130 entreprises.
PaperCut inclut une fonctionnalité « Archivage d’impression » qui enregistre tous les travaux d’impression et les documents envoyés via le serveur, ce qui en fait un bon candidat pour les attaques d’exfiltration de données de l’opération.
Il est fortement conseillé à toutes les organisations utilisant PaperCut MF ou NG de mettre à niveau vers les versions 20.1.7, 21.2.11 et 22.0.9 immédiatement et ultérieurement pour corriger ces vulnérabilités.
Breachtrace a contacté Microsoft avec d’autres questions sur ces attaques et mettra à jour l’article si nous recevons une réponse.