Вымогатели Bl00dy нацелились на образовательный сектор Соединённых Штатов

Службы кибербезопасности и разведки США предупредили о ряде вымогательских атак, которые проводит киберпреступная группировка Bl00dy. Целью злоумышленников стали уязвимые серверы PaperCut в секторе образовательных учреждений.

Атаки произошли в начале мая 2023 года, сообщили в Федеральном бюро расследований (ФБР) и Агентстве по кибербезопасности и инфраструктурной безопасности (CISA) в совместном отчёте , опубликованном в четверг.

«Банда вымогателей Bl00dy получила доступ к сетям жертв в подсекторе образовательных учреждений, где серверы PaperCut были доступны из интернета и всё ещё уязвимы для эксплуатации CVE-2023-27350 », — говорится в документе.

«В результате некоторые из этих операций привели к похищению данных и шифрованию систем жертв. Хакеры Bl00dy оставляли записки с требованием выкупа за восстановление зашифрованных файлов».

CVE-2023-27350 — это критическая уязвимость безопасности, которая затрагивает некоторые версии PaperCut MF и NG, позволяя удалённому злоумышленнику обойти аутентификацию и выполнить произвольный код на целевом устройстве.

Различные хакерские группировки эксплуатировали эту уязвимость с середины апреля этого года, используя её для развертывания законного программного обеспечения для удалённого управления и обслуживания (RMM) и применяя его для доставки дополнительных вредоносных программ, таких как Cobalt Strike, Beacons, DiceLoader и TrueBot на скомпрометированные системы.

Microsoft в одном из своих недавних отчётов связала активное использование уязвимостей PaperCut с группировками Clop и LockBit. А позже компания сообщила , что к атакам присоединились и иранские хакеры, которых специалисты Microsoft отслеживают под идентификаторами Mango Sandstorm и Mint Sandstorm.