Jonathan Greig er en journalist basert i New York City.
Full Bio 14. desember 2021 | Emne: Ransomware
Sikkerhetsforskere har funnet bevis på at statsstøttede grupper så vel som gruppen bak Khonsari løsepengevarefamilien alle utnytter Log4j-sårbarheten.
I en rapport på mandag skrev Bitdefenders Martin Zugec at han så søndag angrep mot systemer som kjører Windows-operativsystemet. Disse angrepene forsøkte å distribuere Khonsari.
Zugec fortalte ZDNet at Khonsari er relativt ny løsepengevare og anses som grunnleggende — sammenlignet med sofistikeringen til profesjonelle løsepengevare-som-en-tjeneste-grupper.
“Sannsynligvis er det en trusselaktør som eksperimenterer med denne nye angrepsvektoren. Det betyr imidlertid ikke at mer avanserte aktører ikke ser på å utnytte Log4j-sårbarheten; det er de garantert,” Zugec forklart. “I stedet for å lete etter den korteste veien til inntektsgenerering, vil de bruke dette mulighetsvinduet til å få tilgang til nettverkene og begynne å forberede et fullskala større angrep.”
“Hvis du ikke har lappet allerede, kan det hende du allerede har ubudne, sovende gjester i nettverket ditt,” la Zugec til.
Cado Security ga ut sin egen rapport om løsepengevaren, og la merke til at Khonsari “veier inn på bare 12 KB og inneholder bare den mest grunnleggende funksjonaliteten som kreves for å utføre løsepengevaremålet.”
“Dens størrelse og enkelhet er imidlertid også en styrke; på det tidspunktet vi kjørte malware dynamisk, ble den ikke oppdaget av systemets innebygde antivirus,” forklarte Cados Matt Muir.
Cado Security CTO Chris Doman sa at distribusjonen av Khonsari var begrenset, og at serveren som opprinnelig leverte løsepengevaren nå betjener en mer generisk bakdør.
“Som andre har merket, er kontaktinformasjonen i løsepenge-notatet sannsynligvis falsk, og muligens til og med et falskt flagg. Microsoft har rapportert at de har sett CobaltStrike levert — en bakdør foretrukket av målrettede løsepengevaregjenger. Og Sekoia har sagt at de LockBit ransomware-mannskapet er sannsynligvis ute etter å utnytte sårbarheten også,” sa Doman.
Ransomware-ekspert Brett Callow kalte Khonsari “ransomware på sklinivå”, men bemerket at det er trygt å anta at andre aktører som forsøker å utnytte denne sårbarheten vil være mer avanserte.
“Ikke alle vil være gjenger med løsepenger. Trusselaktører av alle slag prøver å finne måter å bruke Log4j til sin fordel,” sa Callow.
McAfee Enterprise og FireEye Chief Scientist Raj Samani fortalte ZDNet at de fleste nyttelastene som angriper Log4j hovedsakelig er plager. Men lettheten som Khonsari kan distribueres med — og utbredelsen av sårbare systemer — betyr at nyttelast kan bli mer ødeleggende.
“Vi forventer at upatchede systemer vil fortsette å bli utnyttet med høy sannsynlighet for løsepengevare som en ondsinnet nyttelast,” sa McAfee Enterprise og FireEye-sjef for avansert trusselforskning Steve Povolny.
Nettservere er de vanligste systemene under angrep akkurat nå fordi de er enkle å utnytte og har god avkastning på investeringen, sa ESETs Marc-Étienne Léveillé. Han la til at i løpet av de neste ukene vil vi sannsynligvis oppdage annen programvare som bruker Log4j som er sårbar.
Sikkerhetsforskere ser allerede mer sofistikerte grupper som utnytter sårbarheten. Adam Meyers, SVP for etterretning ved CrowdStrike, sa at teamet hans observerte den Iran-baserte, statssponsede skuespilleren Nemesis kattunge distribuere en klassefil på en server som kan utløses av Log4J.
“CrowdStrike har tidligere observert Nemesis Kitten forsøk på både forstyrrende og destruktive angrep,” la Meyers til.
Sophos senior trusselforsker Sean Gallagher forklarte at så langt har Log4Shell-angripere vært fokusert på kryptominering, og kalte dette “pausen før stormen”
“Vi forventer at motstandere sannsynligvis vil få så mye tilgang til det de kan få akkurat nå… for å tjene penger og/eller utnytte det senere,” sa Gallagher. “Den mest umiddelbare prioriteringen for forsvarere er å redusere eksponeringen ved å lappe og redusere alle hjørner av infrastrukturen deres og undersøke utsatte og potensielt kompromitterte systemer.”
Han la til, “Denne sårbarheten kan være overalt.”
Sikkerhet
Log4j zero-day-feil: Hva du trenger å vite og hvordan du kan beskytte deg selv Alle er utbrent. Det begynner å bli et sikkerhetsmareritt. De beste VPN-ene for små og hjemmebaserte bedrifter i 2021. Sjefene er motvillige til å bruke penger på nettsikkerhet. Da blir de hacket. Truffet av løsepengeprogramvare? Ikke gjør denne første åpenbare feilen Sikkerhet