Jonathan Greig är en journalist baserad i New York City.
Fullständig bio den 14 december 2021 | Ämne: Ransomware
Säkerhetsforskare har hittat bevis på att gruppen bakom Khonsari ransomware utnyttjar Log4j-sårbarheten för att leverera den. Andra statligt sponsrade grupper undersöker också sårbarheten, enligt forskare vid CrowdStrike.
I en rapport på måndagen skrev BitDefenders Martin Zugec att de på söndagen såg attacker mot system som körde Windows operativsystem som försökte distribuera en ransomware-familj som heter Khonsari.
Zugec berättade för ZDNet att Khonsari är relativt ny ransomware och anses vara grundläggande jämfört med den sofistikerade nivån som ses från mer professionella ransomware-as-a-service-grupper.
“Med största sannolikhet är det en hotaktör som experimenterar med den här nya attackvektorn. Det betyder dock inte att mer avancerade aktörer inte tittar på att utnyttja Log4j-sårbarheten, det är de helt säkert. Istället för att leta efter det enklaste, kortaste vägen till intäktsgenerering kommer de att använda det här tillfället för att få tillgång till nätverken och börja förbereda sig för en fullskalig större attack”, förklarade Zugec.
“Vi ser redan distributioner av bakdörrar och fjärrskalsinstallationer. Om du inte redan har patchat kan du redan ha objudna, vilande gäster i ditt nätverk.”
Cado Security släppte sin egen rapport om ransomware, och noterade att den “väger in på endast 12 KB och innehåller endast den mest grundläggande funktionaliteten som krävs för att utföra sitt ransomware-mål.”
“Dess storlek och enkelhet är dock också en styrka – när vi körde skadlig programvara dynamiskt upptäcktes den inte av systemen inbyggda i Antivirus,” förklarade Cados Matt Muir.
Ransomware-experten Brett Callow kallade Khonsari “ransomware på glidnivå” men noterade att det är säkert att anta att några av de andra aktörerna som försöker utnyttja denna sårbarhet kommer att vara mer avancerade.
“Alla kommer inte att vara ransomware-gäng. Hotaktörer av alla slag försöker hitta sätt att använda Log4j till sin fördel,” sa Callow.
McAfee Enterprise och FireEye-chefsforskaren Raj Samani sa till ZDNet att de flesta av de nyttolaster som attackerar Log4j övervägande är en olägenhet men den lätthet med vilken det kan distribueras och förekomsten av sårbara system betyder att nyttolasten mycket väl kan bli mer destruktiva.
“Med tanke på möjligheten att exekvera godtycklig kod med Log4Shell, skadlig programvara och mer specifikt ransomware, verkar det verkligen vara nästa logiska attackfas mogen för exploatering. Vi förväntar oss att oparpade system kommer att fortsätta att utnyttjas med en hög sannolikhet för ransomware som en skadlig nyttolast, ” sa McAfee Enterprise och FireEye chef för avancerad hotforskning Steve Povolny.
Webbservrar är de vanligaste systemen som attackeras just nu eftersom de är enkla att utnyttja och har en bra avkastning på investeringen, enligt ESETs Marc-Étienne Léveillé, som tillade att under de närmaste veckorna kommer vi förmodligen att upptäcka annan programvara att använda Log4j som är sårbart.
“Jag förväntar mig att skadliga grupper kommer att börja söka efter dem också,” sa Léveillé.
Zugec förklarade att de flesta nolldagssårbarheter först attackeras av opportunister som försöker bryta mot sårbara system så snabbt som möjligt, vilket är det stadium som IT-team befinner sig i med Log4j.
Det andra steget, sade han, innebär att sårbarheten blir ett verktyg som används för mer riktade attacker på vägen.
“Det är oundvikligt att ransomware-operatörer kommer att försöka etablera ett fotfäste nu och sedan utnyttja denna sårbarhet i ett senare skede för att få maximal effekt”, sa Zugec.
Adam Meyers, underrättelsechef på CrowdStrike, sa att hans team har observerat den Iran-baserade statssponsrade skådespelaren NEMESIS KITTEN nyligen distribuera en klassfil på en server som kan triggas av Log4J.
“Timingen, avsikten och förmågan överensstämmer med vad som skulle vara motståndarens försök att utnyttja Log4J. CrowdStrike har tidigare observerat NEMESIS KITTEN försök både störande och destruktiva attacker,” tillade Meyers.
Sophos senior hotforskare Sean Gallagher förklarade att Log4Shell-angripare hittills har varit fokuserade på kryptominering men kallade det “lugnet före stormen”
“Vi förväntar oss att motståndare sannolikt tar så mycket tillgång till vad de än kan få just nu för att tjäna pengar och/eller dra nytta av det senare. Den mest omedelbara prioriteringen för försvarare är att minska exponeringen genom att korrigera och mildra alla hörn av deras infrastruktur och undersöka utsatta och potentiellt komprometterade system. Denna sårbarhet kan finnas överallt, säger Gallagher.
“Där system har identifierats som sårbara, bör försvarare köra en incidentresponsprocess och övervaka tecken på fjärråtkomsttrojaner som C2-återuppringningar. Hemligheter som lagras på exponerade system bör också roteras, särskilt om de exponeras i miljövariabler. Tänk slutligen på kritiska tredjepartsleverantörer som också kan vara i riskzonen.”
Säkerhet
Log4j zero-day-fel: Vad du behöver veta och hur du skyddar dig Alla är utbrända. Det håller på att bli en säkerhetsmardröm De bästa VPN:erna för små och hembaserade företag 2021. Chefer är ovilliga att spendera pengar på cybersäkerhet. Då blir de hackade Hit av ransomware? Gör inte detta första uppenbara misstag Säkerhet