Naujas atskleistas „cPanel“ trūkumas, pažymėtas kaip CVE-2026-41940, yra masiškai išnaudojamas siekiant pažeisti svetaines ir užšifruoti duomenis „Atsiprašau“ išpirkos reikalaujančių programų atakų metu.
Šią savaitę buvo išleistas avarinis WHM ir cPanel naujinimas, skirtas pašalinti kritinį autentifikavimo apėjimo trūkumą, leidžiantį užpuolikams pasiekti valdymo skydelius.
WHM ir cPanel yra „Linux“ pagrindu veikiantys žiniatinklio prieglobos valdymo skydai, skirti valdyti serverius ir svetaines. Nors WHM teikia serverio lygio valdymą, „cPanel“ suteikia administratoriaus prieigą prie svetainės fono, žiniatinklio pašto ir duomenų bazių.
Netrukus po jo išleidimo buvo pranešta, kad trūkumas buvo aktyviai naudojamas laukinėje gamtoje kaip nulinė diena, o bandymai jį išnaudoti prasidėjo vasario pabaigoje.
Interneto saugos sargas „Shadowserver“ dabar praneša, kad mažiausiai 44 000 IP adresų, kuriuose veikia „cPanel“, buvo pažeisti vykstančių atakų metu.
cPanel trūkumas išnaudotas Sorry ransomware atakoms
Daugybė šaltinių „BleepingComputer“ teigė, kad įsilaužėliai nuo ketvirtadienio išnaudojo „cPanel“ trūkumą, kad įsilaužtų į serverius ir įdiegtų „Go“ pagrindu sukurtą „Linux“ šifruotoją „Atsiprašome“ išpirkos programinei įrangai (VirusTotal).
Buvo gauta daug pranešimų apie svetaines, paveiktas atakų, įskaitant „BleepingComputer“ forumus, kur auka dalijosi šifruotų failų pavyzdžiais ir išpirkos raštelio turiniu.
Nuo tada buvo pastebėtos plačiai paplitusios išnaudojimo ir išpirkos programinės įrangos atakos, o šimtai pažeistų svetainių jau buvo indeksuotos „Google“.
Šaltinis: BleepingComputer
Atsiprašome ransomware šifruoklis sukurtas specialiai Linux ir pridės „.Atsiprašau” plėtinys visiems užšifruotiems failams.
Šaltinis: diozada „BleepingComputer“ forumuose
„BleepingComputer“ buvo pranešta, kad išpirkos reikalaujanti programinė įranga naudoja ChaCha20 srauto šifrą failams užšifruoti, o šifravimo raktas apsaugotas naudojant įterptąjį RSA-2048 viešąjį raktą.
Ransomware ekspertas Rivitna teigia, kad vienintelis būdas iššifruoti šiuos failus yra gauti atitinkamą privatų RSA-2048 raktą.
„Iššifravimas neįmanomas be privataus RSA-2048 rakto“, – paskelbė Rivitna mūsų forumuose.
Kiekviename aplanke pavadintas išpirkos raštelis README.md sukurtas, nurodant aukai susisiekti su „Tox“ grėsmės veikėju ir susitarti dėl išpirkos mokėjimo.
Išpirkos raštelis yra vienodas kiekvienai šios išpirkos programinės įrangos kampanijos aukai, įskaitant toksiko ID „3D7889AEC00F2325E1A3FBC0ACA4E521670497F11E47FDE13EADE8FED3144B5EB56D6B198724“, su kuriuo grėsmė susisiekia.
Šaltinis: BleepingComputer
Reikia pažymėti, kad a 2018 m. išpirkos reikalaujančių programų kampanija naudojo HiddenTear šifruotę, kad užšifruotų failus ir pridėtų plėtinį .sorry. Ši dabartinė kampanija naudoja kitą šifruotę ir nėra susijusi.
Visi cPanel ir WHM vartotojai raginami nedelsiant įdiegti turimus saugos naujinimus, kad apsaugotų savo svetaines nuo išpirkos reikalaujančių atakų ir duomenų vagysčių.
Išpuoliai ką tik prasidėjo, o artimiausiomis dienomis ir savaitėmis greičiausiai sulauksime didesnio išnaudojimo.
AI sujungė keturias nulio dienas į vieną išnaudojimą, kuris aplenkė tiek atvaizdavimo įrenginį, tiek OS smėlio dėžes. Ateina naujų išnaudojimų banga.
Autonominio patvirtinimo aukščiausiojo lygio susitikime (gegužės 12 ir 14 d.) pamatysite, kaip autonominis, daug konteksto patvirtinantis patvirtinimas randa tai, kas yra išnaudojama, įrodo, kad valdikliai galioja, ir uždaro taisymo kilpą.
Pretenduokite į savo vietą
