PaperCut, Microsoft svela chi sta dietro i recenti attacchi

Microsoft ha rivelato che sarebbero le bande ransomware Clop e LockBit responsabili dei recenti attacchi PaperCut, ecco tutti i dettagli.

Cosa è successo

Il mese scorso, sono state risolte due vulnerabilità nel PaperCut Application Server che consentiva agli attaccanti di eseguire codice remoto non autenticato e la divulgazione di informazioni:

  • CVE-2023–27350 / ZDI-CAN-18987 / PO-1216, Punteggio CVSS v3.1: 9.8 – critico
  • CVE-2023–27351 / ZDI-CAN-19226 / PO-1219, Punteggio CVSS v3.1: 8.2 – alto

PaperCut è un software di gestione stampa compatibile con tutte le principali marche e piattaforme di stampanti utilizzato da centinaia di milioni di persone in oltre 100 paesi. PaperCut ha rivelato che questi difetti sono stati attivamente sfruttati in natura, esortando gli amministratori ad aggiornare i propri server all’ultima versione disponibile.

La rivelazione

In particolare Microsoft Threat Intelligence afferma in un tweet che l’autore della minaccia sarebbe tracciato come “Lace Tempest”, la cui attività si sovrappone a FIN11 e TA505, entrambi collegati all’operazione ransomware Clop.

Sempre secondo i ricercatori l’attore malevolo avrebbe sfruttato le vulnerabilità di PaperCut dal 13 aprile per l’accesso iniziale alle reti aziendali. Una volta ottenuto l’accesso ai server, avrebbe distribuito il malware TrueBot per rubare credenziali LSASS e un beacon Cobalt Strike per consentire la diffusione laterale attraverso le reti colpite. Il tutto per aprire le porte ad un attacco ransomware Clop, sebbene risultino anche alcune intrusioni che avrebbero portato ad attacchi ransomware LockBit.

Consigli di mitigazione

Microsoft consiglia alle organizzazioni di seguire le raccomandazioni di PaperCut e di applicare quanto prima le patch disponibili poiché non si può escludere che anche altri attori delle minacce, seguendo la scia, potrebbero iniziare a sfruttare tali vulnerabilità.