🔥 Burn Fat Fast. Discover How! 💪

#Cring #AdobeColdfusion #Coldfusion #CobaltStrike #Ransomware | Security News for Everyone

#Cring #AdobeColdfusion #Coldfusion #CobaltStrike #Ransomware

El grupo cibercriminal detrás del ransomware Cring explota una vulnerabilidad de hace 11 años en Coldfusion.

Actores de amenazas no identificados vulneraron un servidor que estaba ejecutando una versión no parcheada hace 11 años de Adobe Coldfusion 9, la cual permitió a los atacantes hacerse con el control del servidor en cuestión de minutos y desplegar el ransomware Cring en la red de la víctima 79 horas después del ataque.

El servidor, el cual pertenecía a una empresa de servicios, era usada para recolectar las horas trabajadas por los trabajadores, así como datos de contabilidad sobre las nominas de los mismos y maquinas virtuales que se hosteaban en el mismo servidor, de acuerdo a un informe publicado por Sophos. El ataque se originó desde una dirección IP perteneciente al ISP Ucraniano Green Floid.

La firma de ciberseguridad anglosajona destacó que la rápida intrusión al sistema fue hecha posible explotando una vieja instalación de Adobe Coldfusion 9 ejecutandose en Windows Server 2008, los cuales ya habían alcanzado su EOF.

Después de obtener un punto de entrada inicial, los atacantes usaron una gran variedad de métodos sofisticados para camuflar sus ficheros, inyectar código en la memoria del sistema y cubrir su rastro reescribiendo archivos con datos distorsionados, sin olvidarnos de mencionar el desactivar las protecciones y software de seguridad de sus sistemas, enfocándose primordialmente en las funciones anti-tamper de archivos.

De forma específica, el atacante uso el CVE-2010-2861, un set de vulnerabilidades de directory transversal en la consola de administración de Adobe Coldfusion 9.0.1, que puede ser usada por un atacante remoto para leer ficheros arbitrarios, como aquellos conteniendo hashes de las contraseñas de administrador, para a continuación, usar el CVE-2009-3960, para subir una hoja de estilos CSS maliciosa al servidor, con la cual se ejecutaría un ejecutable malicioso creado con Cobalt Strike.

Este binario luego actuó como punto de persistencia a los atacantes, el cual les permitió desplegar payloads o código malicioso adicional, crear una cuenta de usuario en el sistema con permisos de administrador e incluso desactivar programas de seguridad en endpoints como Windows Defender o Kaspersky, antes de empezar con el proceso de encriptado.

Fuente en inglés: https://thehackernews.com/2021/09/cring-ransomware-gang-exploits-11-year.html
Next Message
telegram-store.com © 2016-2024
Non official site about Telegram
All rights reserved. Copying and using of full materials is prohibited, partial quoting is possible only with a hyperlink to the site telegram-store.com.