As agências de segurança cibernética e inteligência dos EUA alertaram sobre ataques realizados por um agente de ameaças conhecido como Bl00dy Ransomware, que tenta explorar servidores PaperCut vulneráveis contra o setor de instalações educacionais no país.

Os ataques ocorreram desde o início de maio de 2023, disseram o FBI e a CISA em um comunicado conjunto de segurança cibernética divulgado na última quinta-feira (11).

“A gangue Bl00dy Ransomware obteve acesso às redes de vítimas em todo o subsetor de instalações educacionais, onde os servidores PaperCut vulneráveis ao CVE-2023-27350 foram expostos à Internet”, disseram as agências.

Em última análise, algumas dessas operações levaram à exfiltração de dados e à criptografia dos sistemas das vítimas.

A gangue Bl00dy Ransomware deixou notas de resgate nos sistemas das vítimas exigindo pagamento em troca da descriptografia dos arquivos criptografados.

A exploração maliciosa da vulnerabilidade foi observada desde meados de abril de 2023, com ataques principalmente armados para implantar software legítimo de gerenciamento e manutenção remota (RMM) e usar a ferramenta para descartar cargas adicionais, como Cobalt Strike Beacons, DiceLoader e TrueBot em comprometidos sistemas.