Операторы вымогателя Vice Society присоединились к атакам PrintNightmare

Вымогательская группировка Vice Society начала активно эксплуатировать уязвимость PrintNightmare в диспетчере очереди печати Windows для перемещения по сетям своих жертв.

PrintNightmare – класс уязвимостей ( CVE-2021-1675 , CVE-2021-34527 и CVE-2021-36958 ) в диспетчере печати Windows Print Spooler, драйверах Windows и функции Windows Point and Print.

CVE-2021-1675 и CVE-2021-34527 были исправлены Microsoft в июне, июле и августе нынешнего года. В среду, 11 августа, компания также опубликовала уведомление безопасности о CVE-2021-36958 (уязвимость локального повышения привилегий, не исправленная Microsoft).

Злоумышленники могут использовать данный набор уязвимостей для локального повышения привилегий или распространения вредоносных программ от имени администраторов домена Windows путем удаленного выполнения кода с привилегиями SYSTEM.

По словам специалистов Cisco Talos, операторы вымогательского ПО Vice Society загружают на систему жертвы вредоносную DLL-библиотеку для использования двух уязвимостей PrintNightmare (CVE-2021-1675 и CVE-2021-34527).

Vice Society шифрует системы Windows и Linux с помощью OpenSSL (AES256 + secp256k1 + ECDSA). Группировка Vice Society в основном нацелена на небольшие предприятия и компании, а также государственные школы и другие образовательные учреждения.

Напомним, на этой неделе стало известно, что операторы вымогательского ПО Magniber также начали эксплуатировать уязвимости PrintNightmare в атаках на жертв в Южной Корее.