Durante abril del 2023, Cl0p atacó a los servidores PaperCut y utilizaron las vulnerabilidades para robar datos corporativos. Posteriormente, durante mayo, corrigieron dos vulnerabilidades en el servidor de aplicaciones PaperCut. Estas fueron las que permitieron a los atacantes remotos realizar ejecución remota de código y divulgar la información sin autenticación:
CVE-2023–27350 / ZDI-CAN-18987 / PO-1216: fallo de ejecución remota de código sin autenticación que afecta a todas las versiones de PaperCut MF o NG 8.0 o posteriores en todas las plataformas OS, tanto para servidores de aplicaciones como de sitios. (Puntuación CVSS v3.1: 9.8 – crítico)
CVE-2023–27351 / ZDI-CAN-19226 / PO-1219: fallo de divulgación de información sin autenticación que afecta a todas las versiones de PaperCut MF o NG 15.0 o posteriores en todas las plataformas OS para servidores de aplicaciones. (Puntuación CVSS v3.1: 8.2 – alto)
El 19 de abril, PaperCut explicó que estos fallos se explotaron activamente en la red, instando a los administradores a actualizar sus servidores a la última versión.
Unos días después, se publicó un exploit PoC para el fallo de RCE, lo que permitió a otros actores de amenazas acceder a los servidores utilizando estos exploits, en el que estiman LockBit 3.0 no tardó en aparecer.
Cómo Cl0p comprometió la seguridad de PaperCut
Los servidores PaperCut son parte de un software de gestión de impresión que ayuda a reducir el desperdicio y mejorar la seguridad de la impresión. Los servidores PaperCut pueden funcionar como servidores centrales o como servidores de sitio que proporcionan resiliencia en caso de interrupciones de la red. Los servidores PaperCut son compatibles con cualquier marca, plataforma y entorno de impresión.
Microsoft rastreó al autor de las amenazas como ‘Lace Tempest’, cuya actividad se superpone con FIN11 y TA505, ambos vinculados a la operación de ransomware Cl0p. Este habría estado explotando las vulnerabilidades de PaperCut desde el 13 de abril para acceder inicialmente a la red corporativa.
Una vez que obtuvieron acceso al servidor, desplegaron el malware TrueBot, que también ha sido vinculado previamente a la operación de ransomware Cl0p. Finalmente, se desplegó un beacon de Cobalt Strike y se utilizó para propagarse lateralmente por la red mientras robaba datos utilizando la aplicación de intercambio de archivos MegaSync.
Además de Cl0p, Microsoft dice que algunas intrusiones han provocado ataques de ransomware LockBit. Sin embargo, no está claro si estos ataques comenzaron después de que se publicaran los exploits.
Microsoft afirmó por medio de unos tuits que los recientes ataques a PaperCut se debieron al grupo de ransomware Cl0p:
“Microsoft atribuye los recientes ataques reportados que explotan las vulnerabilidades CVE-2023-27350 y CVE-2023-27351 en el software de gestión de impresión PaperCut para entregar el ransomware Cl0p al actor de amenazas rastreado cómo Lace Tempest (se superpone con FIN11 y TA505)”.
El impacto del ataque de Cl0p a PaperCut
Las consecuencias del ataque a PaperCut fueron una alerta masiva a los usuarios; Microsoft recomendó la instalación de parches para evitar que otros autores pudieran aprovechar las vulnerabilidades y volver a atacar.
Todas las pistas apuntaron al grupo ransomware Cl0p, dado que la explotación de los servidores PaperCut se ajusta a un patrón general de acción visto en el grupo los últimos tres años.
Por otra parte, la operación Cl0p continuó cifrando archivos en los ataques, pero dijeron a BleepingComputer que prefieren robar datos para extorsionar a las empresas y que paguen un rescate. Por supuesto, recibir el beneficio de manera directa es más conveniente aunque, en muchos casos, lo menos seguro, pues la mayoría de las empresas no suelen caer en las trampas de pagar el rescate.
Después, el 27 de abril, la operación de ransomware Cl0p confirmó a BleepingComputer que estaban detrás de los ataques a los servidores PaperCut. Explicaron que utilizaron las vulnerabilidades para acceder inicialmente a las redes, en lugar de robar documentos del propio servidor.
No hubo más detalles al respecto, ni por parte de Microsoft o PaperCut. Pero, una vez más, los hechos dejan claro lo importante que es tener medidas preventivas ante posibles ataques de ransomware. ¡Proteja su sistema con Eagle Tech Corp!
Facebook: Eagle Tech Corp
Instagram: @eagletech_corp
Twitter: @eagletechcorp
LinkedIn: Eagle Tech
YouTube: Eagle Tech Corp
