PaperCut NG yazılımındaki güvenlik açıklarından yararlanmasıyla tanınan Bl00dy fidye yazılımı grubu, Hindistan’daki ilk kurbanını 90.000 $ fidye talep etti.
Daha önce ABD’deki üniversiteleri ve kolejleri hedef alan grup, Uzak Masaüstü Protokolü (RDP) aracılığıyla güvenliği ihlal edilmiş Hint enstitüsüne idari erişim sağladı.
Grup tarafından paylaşılan ekran görüntüleri, kurbanın makinesinde PaperCut MF/NG baskı yönetimi yazılımının varlığını gösteriyordu.
Cyble Research & Intelligence Labs (CRIL) tarafından hazırlanan bir raporda, “28 Mayıs 2023’te, Bl00dy fidye yazılımı grubu, çeşitli lisans ve yüksek lisans kursları sunan Hindistan merkezli bir enstitünün güvenliğini ihlal ettiğini iddia etti.”
Grup, uzlaşmanın kanıtı olarak, RDP aracılığıyla kuruluşa yönetici erişimini gösteren birden fazla ekran görüntüsü yayınladı.
Bl00dy fidye yazılımı, PaperCut güvenlik açığı ve Hindistan
CRIL raporunda, “Açık kaynaklı araştırma, 9191 ve 3389 numaralı bağlantı noktalarının açık olduğunu ve güvenliği ihlal edilmiş organizasyonun örneklerinin kamuya ifşa edildiğini gösteriyor” dedi.
“PaperCut NG güvenlik açığının halka açık POC’si, güvenlik açığından yararlanılırken 9191 numaralı bağlantı noktasının hedeflendiğini gösteriyor. Bu nedenle, Bl00dy fidye yazılımı grubunun bir ilk ağ bağlantısı kurmak için PaperCut güvenlik açığından yararlanmış olması büyük olasılıkla.”
Grup, güvenliği ihlal edilmiş verilerin şifresini çözme karşılığında 90.000 $ ödeme talep eden bir fidye notu yayınladı.
Grup tarafından paylaşılan ekran görüntüleri arasında, öğrencilere atanan 10.014 sistem üzerinde denetim ile kuruluşun Active Directory erişimini gösteren görüntüler de vardı.
Ek olarak, ekran görüntüleri Moodle, yardım masası, dummy web ve ERP sunucuları gibi toplam 16,4 GB veri içeren sunuculara erişimi ortaya çıkardı. Yalnızca sahte web sunucusu, birden çok kayıt ve yedekleme dosyası dahil olmak üzere 87,8 GB veri tuttu.
Ele geçirilen personel klasörü, potansiyel olarak üniversite personeline ait olan kayıtları ve isimleri içeriyordu.
Bl00dy fidye yazılımı: Ortaya çıkma ve yürütme
Bl00dy Ransomware Group, Ağustos 2022’de ortaya çıktı ve kurbanlarıyla ilgili ayrıntıları yayınlamak için Telegram ve Twitter’ı kullanıyor.
Grup, orijinal C/C++ kodlu yükünden LOCKBIT 3.0’ın sızdırılmış oluşturucusuna ve ardından sızdırılmış Conti kaynak kodunu temel alan yeni bir oluşturucuya geçiş yaptı.
Son aylarda, grup ABD’deki birkaç eğitim kurumunu hedef aldı, isimlerini herkese açık bir şekilde ifşa etti ve fidyeyi ödemeye zorlamak için müzakere sohbeti ekran görüntülerini ve veri örneklerini sızdırdı.
PaperCut NG’deki CVE-2023-27350 kritik kusuru da dahil olmak üzere Bl00dy Ransomware Group tarafından istismar edilen güvenlik açıkları, Federal Soruşturma Bürosu (FBI) ve Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) tarafından hazırlanan ortak bir siber güvenlik danışmanlığında uyarıda bulundu.
Danışma belgesi, fidye yazılımı grubu tarafından bu güvenlik açığından aktif olarak yararlanıldığını vurgulamaktadır. Açık kaynaklı araştırma, güvenlik açığının 1.000’den fazla örneğinin hala kamuya açık olduğunu ve bu da kuruluşları fidye yazılımı ve Gelişmiş Kalıcı Tehdit (APT) gruplarının saldırılarına açık hale getirdiğini gösteriyor.
Papercut güvenlik açığı ve eğitim sektörü
CISA-FBI güvenlik danışma belgesi, “Mayıs 2023’ün başlarında, FBI bilgilerine göre, Bl00dy Fidye Yazılımı Çetesi, CVE-2023-27350’ye karşı savunmasız olan PaperCut sunucularının internete maruz kaldığı Eğitim Tesisleri Alt Sektöründeki kurban ağlarına erişim sağladı” dedi.
Mayıs 2023’te Bl00dy Ransomware Group tarafından hedef alınan ABD merkezli birkaç kolej ve okulda yama uygulanmamış güvenlik açıkları bulunmaya devam ediyor.
“29 Nisan 2023’te Bl00dy fidye yazılımı grubu, ABD’deki birkaç eğitim kurumuna sosyal medya adreslerinden saldırdığını iddia etti. Akabinde 1 Mayıs 2023 tarihinden itibaren bu kurumların isimlerini lekelemek için isimlerini açıklamaya başladılar.”
“Grup, Mayıs ayının başından itibaren en az altı kolej/okulu hedef aldığını iddia etti. Fidye yazılımı grubu bununla da yetinmeyerek, fidyeyi ödemeleri için onlara baskı yapmak üzere kurban varlıklarıyla müzakere sohbeti ekran görüntülerini ve veri örneklerini de sızdırdı.”
FBI ve CISA, yanal hareketi önlemek için yazılımın, sabit yazılımın ve uygulamaların en son yamalarla güncel tutulmasını ve uygun ağ bölümlemesinin uygulanmasını tavsiye etti.
Ayrıca kuruluşlara, kritik varlıklarını uygun şekilde yapılandırılmış ve güncellenmiş güvenlik duvarlarının arkasında korumalarını ve savunmasız sunuculara ağ erişimine kısıtlamalar getirmelerini tavsiye ettiler.