Les agences américaines de cybersécurité et de renseignement ont mis en garde contre les attaques menées par un acteur menaçant connu sous le nom de Gang de rançongiciels Bl00dy qui tentent d’exploiter les serveurs PaperCut vulnérables contre le secteur des établissements d’enseignement du pays.
Les attaques ont eu lieu début mai 2023, ont déclaré le Federal Bureau of Investigation (FBI) et la Cybersecurity and Infrastructure Security Agency (CISA) dans un avis conjoint sur la cybersécurité publié jeudi.
« Le gang Bl00dy Ransomware a eu accès aux réseaux de victimes dans le sous-secteur des établissements d’enseignement où les serveurs PaperCut sont vulnérables à CVE-2023-27350 ont été exposés à Internet », les agences a dit.
« En fin de compte, certaines de ces opérations ont conduit à l’exfiltration de données et au cryptage des systèmes victimes. Le gang Bl00dy Ransomware a laissé des notes de rançon sur les systèmes victimes exigeant un paiement en échange du décryptage des fichiers cryptés. »
CVE-2023-27350 est une faille de sécurité critique désormais corrigée affectant certaines versions de PaperCut MF et NG qui permet à un acteur distant de contourner l’authentification et d’exécuter du code à distance sur les installations affectées suivantes.
Une exploitation malveillante de la vulnérabilité a été observée depuis la mi-avril 2023, avec des attaques la militarisant principalement pour déployer un logiciel légitime de gestion et de maintenance à distance (RMM) et utiliser l’outil pour supprimer des charges utiles supplémentaires telles que Cobalt Strike Beacons, DiceLoader et TrueBot sur compromis. systèmes.
La divulgation intervient alors que la société de cybersécurité eSentire déterré nouvelle activité ciblant un client anonyme du secteur de l’éducation qui impliquait l’exploitation de CVE-2023-27350 pour supprimer un mineur de crypto-monnaie XMRig.
Des attaques contre les serveurs de gestion d’impression PaperCut ont également été déployées par les groupes de menaces parrainés par l’État iranien Mango Sandstorm (alias MuddyWater ou Mercury) et Mint Sandstorm (alias Phosphorus), a révélé Microsoft la semaine dernière.