Операторы вымогателя Vice Society присоединились к атакам PrintNightmare

Вымогательская группировка Vice Society начала активно эксплуатировать уязвимость PrintNightmare в диспетчере очереди печати Windows для перемещения по сетям своих жертв.

PrintNightmare – класс уязвимостей ( CVE-2021-1675 , CVE-2021-34527 и CVE-2021-36958 ) в диспетчере печати Windows Print Spooler, драйверах Windows и функции Windows Point and Print.

CVE-2021-1675 и CVE-2021-34527 были исправлены Microsoft в июне, июле и августе нынешнего года. В среду, 11 августа, компания также опубликовала уведомление безопасности о CVE-2021-36958 ( уязвимость локального повышения привилегий, не исправленная Microsoft).

Злоумышленники могут использовать данный набор уязвимостей для локального повышения привилегий или распространения вредоносных программ от имени администраторов домена Windows путем удаленного выполнения кода с привилегиями SYSTEM.

По словам специалистов Cisco Talos, операторы вымогательского ПО Vice Society загружают на систему жертвы вредоносную DLL-библиотеку для использования двух уязвимостей PrintNightmare (CVE-2021-1675 и CVE-2021-34527).

Vice Society шифрует системы Windows и Linux с помощью OpenSSL (AES256 + secp256k1 + ECDSA). Группировка Vice Society в основном нацелена на небольшие предприятия и компании, а также государственные школы и другие образовательные учреждения.

Напомним, на этой неделе стало известно, что операторы вымогательского ПО Magniber также начали эксплуатировать уязвимости PrintNightmare в атаках на жертв в Южной Корее.