Hackers exploram vulnerabilidade Log4j para infectar computadores com Khonsari Ransomware
A empresa romena de tecnologia de segurança cibernética Bitdefender revelou na segunda-feira que tentativas estão sendo feitas para visar máquinas Windows com uma nova família de ransomware chamada Khonsari , bem como um Trojan de acesso remoto chamado Orcus , explorando a vulnerabilidade crítica Log4j recentemente divulgada .
O ataque aproveita a falha de execução remota de código para baixar uma carga adicional, um binário .NET, de um servidor remoto que criptografa todos os arquivos com a extensão ".khonsari" e exibe uma nota de resgate que exorta as vítimas a fazerem um pagamento em Bitcoin em troca para recuperar o acesso aos arquivos.
A vulnerabilidade é rastreada como CVE-2021-44228 e também é conhecida pelos apelidos de "Log4Shell" ou "Logjam". Em termos simples, o bug pode forçar um sistema afetado a baixar software malicioso, dando aos invasores uma cabeça de ponte digital em servidores localizados em redes corporativas.
Log4j é uma biblioteca Java de código aberto mantida pela organização sem fins lucrativos Apache Software Foundation. Acumulando cerca de 475.000 downloads de seu projeto GitHub e amplamente adotado para registro de eventos de aplicativos, o utilitário também faz parte de outras estruturas, como Elasticsearch, Kafka e Flink, que são usadas em muitos sites e serviços populares.
A divulgação ocorre no momento em que a Agência de Segurança Cibernética e de Infraestrutura dos Estados Unidos (CISA) emitiu um alerta de alarme de exploração ampla e ativa da falha que, se deixada sem solução, poderia conceder acesso irrestrito e desencadear uma nova rodada de ataques cibernéticos, como consequência do bug deixou as empresas correndo para encontrar e corrigir máquinas vulneráveis.
"Um adversário pode explorar esta vulnerabilidade enviando uma solicitação especialmente criada para um sistema vulnerável que as causas que o sistema para executar código arbitrário", a agência disse na orientação emitida segunda-feira. "A solicitação permite que o adversário assuma o controle total do sistema. O adversário pode então roubar informações, iniciar ransomware ou conduzir outras atividades maliciosas."
Além disso, a CISA também adicionou a vulnerabilidade Log4j ao seu Catálogo de Vulnerabilidades Exploradas Conhecidas , dando às agências federais um prazo de 24 de dezembro para incorporar patches para a falha. Avisos semelhantes foram emitidos anteriormente por agências governamentais na Áustria , Canadá , Nova Zelândia e Reino Unido .
Até Agora, as tentativas de exploração ativa registradas na natureza envolveram o abuso da falha para amarrar os dispositivos em um botnet e lançar cargas úteis adicionais, como Cobalt Strike e mineradores de criptomoeda. A empresa de segurança cibernética Sophos disse que também observou tentativas de exfiltrar chaves e outros dados privados da Amazon Web Services.
Em um sinal de que a ameaça está evoluindo rapidamente, os pesquisadores da Check Point alertaram sobre 60 novas variações do exploit Log4j original sendo introduzido em menos de 24 horas, acrescentando que ele bloqueou mais de 845.000 tentativas de intrusão, com 46% dos ataques encenados por mal-intencionados conhecidos grupos.
A grande maioria das tentativas de exploração contra Log4Shell teve origem na Rússia (4.275), com base em dados de telemetria da Kaspersky, seguida pelo Brasil (2.493), EUA (1.746), Alemanha (1.336), México (1.177), Itália (1.094 ), França (1.008) e Irã (976). Em comparação, apenas 351 tentativas foram realizadas na China.
Apesar da natureza mutante da exploração, a prevalência da ferramenta em uma infinidade de setores também colocou os sistemas de controle industrial e os ambientes de tecnologia operacional que alimentam a infraestrutura crítica em alerta máximo.
"Log4j é amplamente utilizado em aplicações externas / voltadas para a Internet e internas que gerenciam e controlam processos industriais, deixando muitas operações industriais como energia elétrica, água, alimentos e bebidas, manufatura e outras expostas a potencial exploração e acesso remoto", disse Sergio Caltagirone , vice-presidente de inteligência de ameaças da Dragos. "É importante priorizar os aplicativos externos e voltados para a Internet sobre os aplicativos internos devido à sua exposição à Internet, embora ambos sejam vulneráveis."
O desenvolvimento mais uma vez destaca como as principais vulnerabilidades de segurança identificadas no software de código-fonte aberto podem desencadear uma séria ameaça às organizações que incluem essas dependências prontas para uso em seus sistemas de TI. Deixando de lado o amplo alcance, o Log4Shell é ainda mais preocupante por sua relativa facilidade de exploração, lançando a base para futuros ataques de ransomware.
"Para ser claro, esta vulnerabilidade representa um risco grave," Director CISA Jen Easterly disse . "Esta vulnerabilidade, que está sendo amplamente explorada por um conjunto crescente de atores de ameaças, apresenta um desafio urgente para os defensores da rede devido ao seu amplo uso. Os fornecedores também devem se comunicar com seus clientes para garantir que os usuários finais saibam que seu produto contém essa vulnerabilidade e priorizar atualizações de software. "
Achou esse artigo interessante? Siga canalfsociety em Instagram, Facebook, Telegram, Twitter, App Boletim Tec e App Mr Robot Sticker para ler mais conteúdo exclusivo que postamos.
Fonte: https://thehackernews.com
Postar um comentário