Grupos de ransomware aprovechan vulnerabilidades de PaperCut
Microsoft ha emitido una advertencia sobre dos bandas de ciberdelincuentes que están explotando agresivamente las vulnerabilidades de PaperCut, un popular programa de gestión de impresión. Se trata de la banda de habla rusa Clop ransomware-as-a-service y la banda de ciberdelincuentes LockBit. Lace Tempest, también conocido como FIN11.
Tras los informes de actividades sospechosas que explotaban fallos parcheados en marzo, PaperCut aconsejó a sus clientes a principios de este mes que actualizaran su software. Según la empresa, el primer indicio de piratas informáticos que explotaban un problema de ejecución remota de código en el servidor de aplicaciones de PaperCut, conocido como CVE-2023-27350, se produjo el 14 de abril. Microsoft, por su parte, afirmó que Lace Tempest ya había utilizado la vulnerabilidad PaperCut en sus asaltos del 13 de abril.
Según Huntress, una empresa de detección y respuesta gestionadas, descubrió a un hacker que intentaba desplegar un minero de criptomonedas Monero utilizando el mismo problema. La empresa también abordó el problema CVE-2023-27351, que permitía a un atacante no autenticado recuperar información sobre un usuario contenida en el software de la empresa, como nombres de usuario, nombres completos, direcciones de correo electrónico y contraseñas cifradas de usuarios creados con PaperCut.
PaperCut está trabajando duro para asegurarse de que todos sus clientes entienden la importancia de las dos vulnerabilidades abordadas el mes pasado. La corporación ha añadido un escudo con franjas verdes en la parte superior de su sitio web principal, con las palabras "Mensaje de seguridad urgente para todos los clientes de NG/MF". PaperCut también ha revisado sus registros y está trabajando para llegar a los consumidores que puedan estar en peligro.
PaperCut declaró que se le notificó inicialmente el asalto a un servidor sin parches el 17 de abril, y que está trabajando duro para reunir una lista de servidores sin parches que están disponibles en la Internet pública. A pesar de ello, la empresa no puede comprobar las redes internas en busca de sistemas sin parches que no sean accesibles en línea.
Las fuentes de este artículo incluyen un artículo en DataBreachToday.