Actores de amenazas están aprovechando las vulnerabilidades no parcheadas en los servidores de Atlassian para lanzar una versión de Linux del ransomware Cerber (C3RB3R).
La falla identificada como CVE-2023-22518 CVSS: 10, una vulnerabilidad de seguridad crítica que afecta al centro de datos y al servidor de Atlassian Confluence. Permite a un atacante no autenticado restablecer Confluence y crear una cuenta de administrador. Obtenido este acceso, podría tomar el control de los sistemas afectados.
Nate Bill de la empresa Cado, sostiene que:
Se ha observado que grupos de ciberdelincuentes aprovechan la cuenta de administrador recién creada para instalar el complemento de «shell web Effluence», permitiendo la ejecución de comandos arbitrarios en el host. El atacante emplea este shell web para descargar y ejecutar la carga útil principal de «C3rb3r».
En una configuración por defecto, la aplicación Confluence se ejecuta como el usuario ‘confluence’, el cual posee pocos privilegios. Por lo tanto, los datos que el ransomware puede cifrar están limitados a los archivos pertenecientes al usuario.
La carga principal actúa como un cargador para malware adicional basado en C++, el cual se descarga desde un servidor de comando y control (C2) y luego borra su propia presencia del host infectado. Incluye «agttydck.bat«, el cual se utiliza para descargar el cifrador («agttydcb.bat«), que a su vez es ejecutado por la carga principal.
Se presume que agttydck opera de manera similar a un verificador de permisos para el malware, evaluando su capacidad para escribir en un archivo /tmp/ck.log. Por otro lado, el cifrador recorre el directorio raíz y encripta todo el contenido con un archivo «.L0CK3D» (dejando una nota de rescate).
C3rb3r Ransomware es relativamente sofisticado, aunque ya tiene su tiempo. Aprovecha la vulnerabilidad de Confluence para comprometer una gran cantidad de sistemas valiosos, a menudo, los datos que puede cifrar están limitados únicamente a los datos de Confluence y, en sistemas bien configurados, se realiza una copia de seguridad.
En un panorama marcado por el surgimiento de nuevas familias de Ransomware, como Evil Ant, HelloFire y L00KUPRU, entre otras, se observa también el uso del código fuente filtrado de LockBit Ransomware para crear variantes personalizadas (como Lambda, Mordor y Zgut).
Este análisis revela la sorprendente facilidad con la que los perpetradores pueden desarrollar Ransomware a medida y potenciar sus capacidades con funciones más avanzadas.
Fuente:
Critical Atlassian Flaw Exploited to Deploy Linux Variant of Cerber Ransomware
Ciberprisma - alianza por la ciberseguridad 