Ransomware: gli aggressori prendono di mira le vulnerabilità di PrintNightmare in Windows

I criminali informatici sfruttano le vulnerabilità di Windows PrintNightmare Per infettare le loro vittime con ransomware. Le vulnerabilità (CVE-2021-34527 e CVE-2021-1675) in Windows Print Spooler, un servizio abilitato per impostazione predefinita in tutti i client Windows e utilizzato per copiare i dati tra dispositivi per gestire i lavori di stampa, consentono agli aggressori di eseguire codice arbitrario. Gli hacker possono installare, modificare, cambiare ed eliminare programmi, creare nuovi account con diritti utente completi e muoversi liberamente nella rete.

Uno degli aggressori è Vice Society, un giocatore relativamente nuovo nello spazio ransomware apparso solo a giugno. Vice Society è nota per essere pronta a sfruttare nuove vulnerabilità. Secondo i ricercatori di sicurezza informatica di Cisco Talos, hanno aggiunto PrintNightmare al loro arsenale di strumenti di hacking di rete.

Come molti gruppi di ransomware per criminali informatici, la Vice Society fa affidamento su un doppio ricatto: crittografa i dati, ruba i dati alle vittime e minaccia di rilasciarli se il riscatto non viene pagato. Secondo Cisco Talos, il gruppo si è concentrato principalmente sulle piccole e medie imprese, in particolare scuole e altre istituzioni educative.

Un altro gruppo di ransomware che sfrutta attivamente le vulnerabilità di PrintNightmare è Magniber. È attivo dal 2017 e introduce regolarmente nuove funzioni e metodi di attacco. Magniber ha utilizzato per la prima volta annunci dannosi per diffondere attacchi prima di continuare a sfruttare vulnerabilità senza patch in programmi come Internet Explorer e Flash. La maggior parte delle campagne di Magniber è indirizzata alla Corea del Sud.