CVE-2021-42344

Ни дня без ransomware: клиентов BQE Software вдоль и поперек шифруют вымогатели, эксплуатирующие критическую ошибку SQL-инъекции в биллинговом решений BillQuick Web Suite. Потенциальных жертв - 400 000 пользователей по всему миру.

В массе своей атаки вымогателей нацелены на непропатченные сервера BillQuick, уязвимые для CVE-2021-42258, которая может быть достаточно просто легко вызвана запросами на вход с недопустимыми символами (одинарная кавычка) в поле имени пользователя.

Несмотря на то, что ошибка была исправлена еще 7 октября в версии 22.0.9.1 BQE Software, обнаружившие багу специалисты команды Huntress ThreatOps выкатили еще восемь других 0-day уязвимостей в BillQuick (CVE-2021-42344, CVE-2021-42345, CVE-2021-42346, CVE-2021-42571, CVE-2021-42572, CVE-2021-42573, CVE-2021-42741, CVE-2021-42742). Все ошибки позволяют использовать их для начального доступа, выполнения вредоносных команд на своих локальных серверах Windows, а главное - до сих пор непропатчены.

Атрибутировать атакующих Huntress Labs к какой-либо известной банде пока не удается: ресерчеры предполагают, что в деле более мелкая группа. Выявленный ransomware используется по крайней мере с мая 2020 года и в значительной степени заимствует код из других семейств программ-вымогателей на основе AutoIT. Хакеры после развертывания ВПО не оставляют записок о выкупе в зашифрованных системах, а лишь добавляют расширение pusheken91@bk.ru ко всем зашифрованным файлам в качестве обратной связи для обсуждения выкупа.

Тем временем, BQE Software вовсю ведут работу над ошибками, впрочем, как и хакеры. По мнению экспертов, к атакам BillQuick уже в самое ближайшее время будут присоединяться более крупные акторы.