Ransomware: Angreifer nehmen PrintNightmare-Schwachstellen in Windows ins Visier

Cyber-Kriminelle nutzen die Windows PrintNightmare-Schwachstellen aus, um ihre Opfer mit Ransomware zu infizieren. Die Sicherheitslücken (CVE-2021-34527 und CVE-2021-1675) in Windows Print Spooler – einem Dienst, der standardmäßig in allen Windows-Clients aktiviert ist und zum Kopieren von Daten zwischen Geräten zur Verwaltung von Druckaufträgen verwendet wird – ermöglichen es Angreifern, beliebigen Code auszuführen. Hacker können so Programme installieren, Daten modifizieren, ändern und löschen, neue Konten mit vollen Benutzerrechten erstellen und sich frei im Netzwerk zu bewegen.

Einer der Angreifer ist Vice Society, ein relativ neuer Akteur im Bereich Ransomware, der erst im Juni aufgetaucht ist. Vice Society ist dafür bekannt, dass sie schnell neue Sicherheitslücken ausnutzen. Laut den Cybersecurity-Forschern von Cisco Talos haben sie PrintNightmare zu ihrem Arsenal an Tools für die Kompromittierung von Netzwerken hinzugefügt.

Wie viele cyberkriminelle Ransomware-Gruppen setzt Vice Society auf doppelte Erpressung: Sie verschlüsseln und stehlen Daten von Opfern und drohen, diese zu veröffentlichen, wenn das Lösegeld nicht gezahlt wird. Laut Cisco Talos hat sich die Gruppe vor allem auf kleine und mittelgroße Organisationen konzentriert, insbesondere auf Schulen und andere Bildungseinrichtungen.

Eine weitere Ransomware-Gruppe, die die PrintNightmare-Schwachstellen aktiv ausnutzt, ist Magniber. Sie ist seit 2017 aktiv und führt regelmäßig neue Funktionen und Angriffsmethoden ein. Magniber nutzte zunächst Malvertising zur Verbreitung von Angriffen, bevor sie dazu übergingen, ungepatchte Sicherheitslücken in Software wie Internet Explorer und Flash auszunutzen. Die meisten Magniber-Kampagnen zielen auf Südkorea ab.