This post is also available in: Português
Pesquisadores descobriram o primeiro caso público da vulnerabilidade Log4j Log4Shell usado para baixar e instalar ransomware.
No dia 10 deste mês, uma exploração pública foi lançada para uma vulnerabilidade crítica de dia zero, chamada de Log4Shell, na plataforma de registro baseada em Java Apache Log4j.
Log4j é uma estrutura de desenvolvimento que permite aos desenvolvedores adicionar registro de erros e eventos em seus aplicativos Java.
A vulnerabilidade permite que os cibercriminosos criem strings JNDI especiais que, quando lidas pelo Log4j, fazem com que a plataforma se conecte e execute o código no URL incluído. Isso permite que os invasores detectem facilmente dispositivos vulneráveis ou executem códigos fornecidos por um site remoto ou por meio de strings codificadas em Base64.
Apesar da vulnerabilidade ter sido corrigida no Log4j 2.15.0 e complementada Log4j 2.16.0, ela está sendo amplamente explorada por agentes de ameaças para instalar vários malwares, incluindo mineradores de moedas, botnets e até mesmo beacons Cobalt Strike.
Log4j instalando ransomware
A BitDefender encontrou a primeira família de ransomware sendo instalada diretamente através de exploits Log4Shell.
O exploit baixa uma classe Java hxxp://3.145.115[ . ]94/Main.class que é carregada e executada pelo aplicativo Log4j. Após ser carregado, ele baixaria um código binário .NET do mesmo servidor para instalar um novo ransomware chamado ‘Khonsari’.
Este mesmo nome também é usado como extensão para arquivos criptografados e na nota de resgate.
Em ataques posteriores, a empresa de cibersegurança notou que este ator de ameaça usou o mesmo servidor para distribuir o Trojan Orcus Remote Access.
O especialista em ransomware Michael Gillespie disse que o Khonsari usa criptografia válida e é seguro, o que significa que não é possível recuperar arquivos gratuitamente.
Porém, a nota de resgate não parece incluir uma maneira de entrar em contato com o ator da ameaça para pagar o resgate.
Brett Callow, analista da Emsisoft, disse que o ransomware tem o nome e usa as informações de contato do proprietário de uma loja de antiguidades na Louisiana, em vez do ator da ameaça.
Não está claro se essa pessoa é a verdadeira vítima do ataque de ransomware ou listada como uma isca.
Portanto, como não contém informações de contato legítimas dos cibercriminosos, pode ser que a ameaça não seja um ransomware.
Embora esta possa ser a primeira instancia conhecida do exploit Log4j instalando diretamente o ransomware, a Microsoft já viu os exploits usados para implantar beacons Cobalt Strike.
É provável que operações de ransomware mais avançadas já estejam usando os exploits como parte de seus ataques.
Fontes: Bitidefender.
This post is also available in: Português
