Μια άγνωστη ομάδα ransomware εκμεταλλεύεται ένα κρίσιμο SQL injection bug που βρέθηκε στο BillQuick Web Suite για την ανάπτυξη ransomware στα δίκτυα των στόχων τους σε συνεχείς επιθέσεις.

Δείτε επίσης: Ερευνητές παρείχαν εργαλείο αποκρυπτογράφησης στα θύματα του BlackMatter ransomware

Η BQE Software, η εταιρεία πίσω από το BillQuick, ισχυρίζεται ότι παγκοσμίως έχει 400.000 χρήστες.

Η ευπάθεια, η οποία αναφέρεται ως CVE-2021-42258, μπορεί να ενεργοποιηθεί εξαιρετικά εύκολα μέσω αιτημάτων σύνδεσης με μη έγκυρους χαρακτήρες (ένα μόνο εισαγωγικό) στο πεδίο ονόματος χρήστη, σύμφωνα με ερευνητές ασφαλείας της ομάδας Huntress ThreatOps.

Αυτή η ευπάθεια την οποία εκμεταλλεύτηκαν ενεργά οι χάκερ διορθώθηκε στις 7 Οκτωβρίου αφού η Huntress Labs ενημέρωσε την BQE Software για το σφάλμα.

Ωστόσο, οι ερευνητές βρήκαν άλλες οκτώ ευπάθειες του BillQuick zero-day (CVE-2021-42344, CVE-2021-42345, CVE-2021-42346, CVE-2021-42571, CVE-2021-4227 42573, CVE-2021-42741, CVE-2021-42742) που μπορούν να χρησιμοποιηθούν για την εκτέλεση initial access/code και είναι έτοιμες για κατάχρηση, καθώς παραμένουν unpatched.

Δείτε επίσης: Ferrara Candy: Χτυπήθηκε από ransomware λίγο πριν το Halloween

Unpatched BillQuick server χρησιμοποιείται στο hack εταιρειών

“Η ομάδα μας μπόρεσε να αναδημιουργήσει με επιτυχία αυτήν την επίθεση που βασίζεται σε SQL injection bug και μπορεί να επιβεβαιώσει ότι οι χάκερ μπορούν να το χρησιμοποιήσουν για να έχουν πρόσβαση στα δεδομένα των πελατών του BillQuick και να εκτελούν κακόβουλες εντολές στους on-premises servers Windows”, δήλωσε η Huntress Labs.

Σύμφωνα με τους ερευνητές, από την έναρξη των επιθέσεων, μια αμερικανική εταιρεία engineering έχει κρυπτογραφήσει τα συστήματά της αφού ένας ευάλωτος server BillQuick παραβιάστηκε και χρησιμοποιήθηκε ως το αρχικό σημείο πρόσβασης στο δίκτυό του.

“Ο απειλητικός παράγοντας που εντοπίσαμε δεν μοιάζει με κάποια γνωστή ομάδα για την οποία έχουμε πληροφορίες. Η προσωπική μου άποψη είναι ότι πρόκειται για μια νέα ομάδα”, δήλωσε ο ερευνητής ασφαλείας Huntress Labs Caleb Stewart στο BleepingComputer.

Η ομάδα είναι ενεργή τουλάχιστον από τον Μάιο του 2020

Η συμμορία ransomware πίσω από αυτές τις επιθέσεις είναι άγνωστη και οι χειριστές της δεν έχουν ρίξει ransom notes σε κρυπτογραφημένα συστήματα για να διευκολύνουν την αναγνώρισή τους ή να ζητήσουν από τα θύματά τους να πληρώσουν λύτρα σε αντάλλαγμα για decryptors.

Επίσης, δεν είναι σαφές εάν το ransomware χρησιμοποιείται ως δόλωμα για να καλύψει άλλες κακόβουλες δραστηριότητες, όπως την κλοπή δεδομένων.

Το ransomware που αναπτύχθηκε από αυτήν την ομάδα χρησιμοποιείται τουλάχιστον από τον Μάιο του 2020 και δανείζεται σε μεγάλο μέρος του κώδικα από άλλες οικογένειες ransomware AutoIT-based.

Δείτε επίσης: Τα data Ιταλών διασημοτήτων εκτέθηκαν σε επίθεση ransomware στη SIAE

Μόλις αναπτυχθεί στα συστήματα, θα προσθέσει την επέκταση pusheken91@bk.ru σε όλα τα κρυπτογραφημένα αρχεία, αλλά, όπως αναφέρθηκε παραπάνω, δεν θα “ρίξει” και ένα ransom note.

Οι εισβολείς πιθανότατα χρησιμοποιούν αυτήν την προσέγγιση, επειδή η ίδια η συνημμένη επέκταση υποδεικνύει τι email πρέπει να χρησιμοποιήσουν τα θύματα για να ζητήσουν λεπτομέρειες σχετικά με τον τρόπο ανάκτησης των δεδομένων τους.

Πηγή πληροφοριών: bleepingcomputer.com