Segundo pesquisadores da empresa de segurança Imperva, o ransomware TellYouThePass explora a recente falha RCE do PHP para violar servidores.
A gangue de ransomware TellYouThePass tem explorado a vulnerabilidade de execução remota de código CVE-2024-4577 recentemente corrigida em PHP para entregar webshells e executar a carga útil do criptografador nos sistemas de destino.
Ransomware TellYouThePass explora a recente falha RCE do PHP
Sim. O ransomware TellYouThePass explora a recente falha RCE do PHP para violar servidores. Os ataques começaram em 8 de junho, menos de 48 horas após o lançamento das atualizações de segurança pelos mantenedores do PHP, e contaram com código de exploração disponível publicamente.
O ransomware TellYouThePass é conhecido por atacar rapidamente explorações públicas em busca de vulnerabilidades de amplo impacto. Em novembro passado eles usaram um Apache ActiveMQ RCE em ataques e em dezembro de 2021 adotaram o exploit Log4j para violar empresas.
Nos últimos ataques detectados por pesquisadores da empresa de segurança cibernética Imperva, TellYouThePass explora o bug CVE-2024-4577 de gravidade crítica para executar código PHP arbitrário, usando o binário mshta.exe do Windows para executar um arquivo de aplicativo HTML malicioso (HTA).
“Este arquivo contém VBScript com uma string codificada em base64 que é decodificada em um binário, carregando uma variante .NET do ransomware na memória do host”, explicam os pesquisadores da Imperva.
Após a execução, o malware envia uma solicitação HTTP para um servidor de comando e controle (C2) disfarçado como uma solicitação de recurso CSS e criptografa os arquivos na máquina infectada.
Em seguida, ele coloca uma nota de resgate, “READ_ME10.html”, com instruções para a vítima sobre como restaurar seus arquivos.
Postagens de usuários no fórum BleepingComputer indicam que os ataques TellYouThePass fizeram vítimas desde 8 de junho e a nota de resgate exigia 0,1 BTC (cerca de US$ 6.700) pela chave de descriptografia.
Um usuário que tinha um computador hospedando seu site criptografado descobriu que a campanha de ransomware TellYouThePass impactou vários sites.
Bug explorado logo após a correção
CVE-2024-4577 é uma vulnerabilidade RCE crítica que afeta todas as versões do PHP desde 5.x. Isso decorre de conversões inseguras de codificação de caracteres no Windows quando usado no modo CGI.
A vulnerabilidade foi descoberta em 7 de maio por Orange Tsai da Devcore, que a relatou à equipe PHP. Uma correção foi entregue em 6 de junho com o lançamento das versões 8.3.8, 8.2.20 e 8.1.29 do PHP.
Na sexta-feira, um dia após o patch, o WatchTowr Labs lançou o código de exploração de prova de conceito (PoC) para CVE-2024-4557. No mesmo dia, a Fundação Shadowserver observou tentativas de exploração em seus honeypots.
De acordo com um relatório da Censys ontem, existem mais de 450.000 servidores PHP expostos que podem estar vulneráveis à vulnerabilidade CVE-2024-4577 RCE, a maioria deles localizados nos Estados Unidos e na Alemanha.
A startup de segurança em nuvem Wiz deu uma estimativa mais específica de quantas dessas instâncias podem estar vulneráveis, colocando o número em cerca de 34%.