Tecnología

Los piratas informáticos utilizaron software de facturación de día cero para implementar ransomware

Los piratas informáticos utilizaron software de facturación de día cero para implementar ransomware

Un grupo de ransomware desconocido está explotando un error crítico de inyección de SQL encontrado en la solución de facturación y tiempo de BillQuick Web Suite para implementar ransomware en las redes de sus objetivos en ataques en curso.

BQE Software, la compañía detrás de BillQuick, afirma tener una sólida base de usuarios de 400.000 en todo el mundo.

La vulnerabilidad, rastreada como CVE-2021-42258, se puede activar de manera extremadamente fácil a través de solicitudes de inicio de sesión con caracteres no válidos (una comilla simple) en el campo del nombre de usuario, según los investigadores de seguridad del equipo de Huntress ThreatOps.

Esta vulnerabilidad explotada activamente fue parcheada 7 de octubre después de que Huntress Labs notificara a BQE Software del error.

Sin embargo, los investigadores también encontraron otras ocho vulnerabilidades de día cero de BillQuick (es decir, CVE-2021-42344, CVE-2021-42345, CVE-2021-42346, CVE-2021-42571, CVE-2021-42572, CVE-2021-42573, CVE-2021-42741, CVE-2021-42742) También se puede usar para el acceso inicial / ejecución de código y está listo para el abuso, ya que todavía están esperando un parche.

Servidor BillQuick sin parches utilizado para piratear una empresa de ingeniería

«Nuestro equipo pudo recrear con éxito este ataque basado en inyección SQL y puede confirmar que los piratas informáticos pueden usarlo para acceder a los datos BillQuick de los clientes y ejecutar comandos maliciosos en sus servidores Windows locales». Huntress Labs dijo.

«Hemos estado en estrecho contacto con el equipo de BQE para notificarles sobre esta vulnerabilidad, evaluar los cambios de código implementados en WebSuite 2021 versión 22.0.9.1 y trabajar para abordar múltiples preocupaciones de seguridad que planteamos sobre sus ofertas BillQuick y Core (más por venir estos cuando hay parches disponibles) «.

Según los investigadores, desde que comenzaron los ataques, una empresa de ingeniería estadounidense ya tenía sus sistemas cifrados después de que un servidor BillQuick vulnerable fuera pirateado y utilizado como punto inicial de acceso a su red.

«El actor que observamos no se alineó con ningún actor de amenaza grande o conocido del que tengamos conocimiento. En mi opinión personal, este era un actor y / o grupo más pequeño en función de su comportamiento durante la explotación y la posexplotación», dijo la investigadora de seguridad de Huntress Labs. Caleb Stewart le dijo a Bleeping Computer.

«Sin embargo, según los problemas que hemos identificado / divulgado, esperaría que otros exploten más en el futuro. Observamos la actividad durante el fin de semana del Día de la Raza (08-10 de octubre de 2021)».

Activo desde al menos mayo de 2020

Se desconoce la banda de ransomware detrás de estos ataques, y sus operadores no han dejado caer notas de rescate en sistemas cifrados para facilitar su identificación o pedir a sus víctimas que paguen un rescate a cambio de descifradores.

Además, no está claro si el ransomware se utiliza como señuelo para encubrir otras actividades maliciosas, como el robo de datos, o si se espera que las víctimas sepan que deben enviar un correo electrónico al actor de la amenaza desde la extensión adjunta a los archivos cifrados.

BleepingComputer descubrió que el ransomware implementado por este grupo ha estado en uso desde al menos mayo de 2020 y toma prestado código de otras familias de ransomware basadas en AutoIT.

Una vez implementado en los sistemas de destino, agregará el pusheken91@bk.ru extensión a todos los archivos cifrados pero, como se mencionó anteriormente, BleepingComputer no ha visto que suelte una nota de rescate durante ningún ataque conocido.

Es probable que los atacantes estén usando este enfoque porque la extensión adjunta en sí misma da pistas sobre qué correo electrónico deben usar las víctimas para solicitar detalles sobre cómo recuperar sus datos.

En agosto, el FBI y la CISA advirtieron a las organizaciones que no bajaran sus defensas contra los ataques de ransomware durante los fines de semana o días festivos en un aviso conjunto de ciberseguridad.

Las dos agencias del gobierno federal dijeron que «observaron un aumento en los ataques de ransomware de gran impacto que se produjeron durante los días festivos y los fines de semana, cuando las oficinas normalmente están cerradas, en los Estados Unidos, tan recientemente como el feriado del 4 de julio de 2021».

Leave a Comment

You may also like

Más