El grupo NCC advierte de un aumento en los ataques de ransomware Clop (grupo de hackeo también conocido como TA505 y FIN11), que explota una vulnerabilidad en SolarWinds Serv-U.
La mayoría de ellos comienzan explotando el error CVE-2021-35211 en Serv-U Managed File Transfer y Serv-U Secure FTP.. Este problema permite a un atacante remoto ejecutar comandos con privilegios elevados en el servidor afectado.
Vientos solares fijado este error en julio 2021, después de descubrir el «solo atacante» ¿Quién utilizó esta vulnerabilidad en los ataques?. Luego, la empresa advirtió que la vulnerabilidad afecta solo a los clientes que tengan habilitada la función SSH., y deshabilitar SSH evita la explotación del error.
Como informa ahora el Grupo NCC, Los operadores de Clop también han comenzado a explotar la vulnerabilidad en sus ataques., Aunque ellos típicamente confiado sobre la eliminación de problemas de día 0 en Accellion y correos electrónicos de phishing con archivos adjuntos maliciosos. Ahora los atacantes usan Serv-U para iniciar un subproceso bajo su control, lo que les permite ejecutar comandos en el sistema de destino. Esto allana el camino para la implementación de malware, reconocimiento de red, y movimiento lateral, creando una plataforma sólida para ataques de ransomware.
Ciertos errores en los registros de Serv-U son un signo característico de explotación de esta vulnerabilidad.. Así que, el error debería verse como la siguiente línea:
'EXCEPCIÓN: C0000005; CSUSSHSocket::ProcesarRecibir();’
Otro signo de explotación del error son los rastros del comando PowerShell utilizado para implementar balizas Cobalt Strike en el sistema afectado..
El Grupo NCC ha publicado una lista de verificación para administradores de sistemas que puede verificar los sistemas en busca de signos de compromiso.:
- comprueba si tu versión de Serv-U es vulnerable;
- busque el archivo DebugSocketlog.txt para Serv-U;
- Busque entradas como 'EXCEPCIÓN: C0000005; CSUSSHSocket::ProcesarRecibir();’;
- verificar ID de evento 4104 en los registros de eventos de Windows para la fecha y hora del error de excepción, y busque comandos sospechosos de PowerShell.
- verifique la tarea RegIdleBackup programada capturada;
- CLSID en COM no debe establecerse en {CA767AA8-9157-4604-B64B-40747123D5F2};
- Si la tarea contiene un CLSID diferente: comprobar el contenido de los objetos CLSID en el registro, las cadenas Base64 devueltas podrían ser un indicador de compromiso.
Los investigadores señalan que la mayoría de los sistemas FTP Serv-U vulnerables se encuentran en China y Estados Unidos..
Déjame recordarte que escribí que el La policía cibernética de Ucrania arrestó a personas vinculadas con el ransomware Clop, pero también eso Clop ransomware continúa funcionando incluso después de una serie de arrestos.
