Jonathan Greig er journalist baseret i New York City.
Fuld biografisk biografisk den 17. december 2021 | Emne: Ransomware
Forskere med sikkerhedsfirmaet Advanced Intelligence har opdaget, at Conti ransomware-gruppen udnytter VMware vCenter Server-instanser gennem Log4j-sårbarhederne.
I en rapport fredag sagde sikkerhedsfirmaet, at det opdagede flere medlemmer af Conti, der diskuterede måder at drage fordel af Log4j-problemet, hvilket gør dem til den første sofistikerede ransomware-gruppe, der blev opdaget, der forsøgte at bevæbne sårbarheden.
AdvIntel sagde, at den nuværende udnyttelse “førte til flere use cases, hvorigennem Conti-gruppen testede mulighederne for at bruge Log4J2-udnyttelsen.”
“Vigtigst af alt bekræftede AdvIntel, at de kriminelle forfulgte at målrette specifikke sårbare Log4J2 VMware vCenter til lateral bevægelse direkte fra det kompromitterede netværk, hvilket resulterer i vCenter-adgang, der påvirker amerikanske og europæiske offernetværk fra de allerede eksisterende Cobalt Strike-sessioner,” sagde forskerne.
De bemærkede, at deres undersøgelse af ransomware-logfiler viser, at Conti tjente over 150 millioner dollars i de sidste seks måneder. AdvIntel lagde en tidslinje over begivenheder for Contis interesse i Log4j, der startede den 1. november, da gruppen søgte at finde nye angrebsvektorer. I hele november redesignede Conti sin infrastruktur, da den forsøgte at udvide, og inden den 12. december identificerede de Log4Shell som en mulighed.
Den 15. december begyndte de aktivt at målrette vCenter-netværk til sidebevægelse.
Advanced Intelligence
I en erklæring sagde VMware, at det udsendte en sikkerhedsadvisering, der indeholder rettelser til de 40 produkter, det sælger, som er sårbare over for Log4J-problemet, inklusive vCenter. I meddelelsen bekræfter de, at udnyttelsesforsøg i naturen er blevet bekræftet.
“Enhver tjeneste, der er forbundet til internettet og endnu ikke patchet for Log4j-sårbarheden (CVE-2021-44228) er sårbar over for hackere, og VMware anbefaler kraftigt øjeblikkelig patchning til Log4j,” sagde VMware.
AdvIntel tilføjede, at det kun er et spørgsmål om tid, før Conti og andre grupper vil begynde at udnytte Log4j til sin fulde kapacitet.
Khonsari var den første ransomware-gruppe, der begyndte at målrette mod Log4j, men blev betragtet som lavere kvalitet og havde ikke engang en levedygtig løsesumseddel, hvilket fik nogle til at betragte det som blot en visker. Forskere i Kina har identificeret TellYouThePass ransomware, der bruges i angreb mod Windows- og Linux-enheder ved hjælp af Log4j-problemet.
Optaget fremtidig ransomware-ekspert Allan Liska sagde, at de seneste nyheder om forskellige ransomware-grupper, der udforsker udnyttelse af Log4j, stemmer overens med det, han ser.
“IAB'er, der arbejder med Conti, er begyndt at scanne efter Log4Shell og sandsynligvis har udnyttet ofre. MEN vi har ikke set nogen beviser for et vellykket ransomware-angreb som følge af disse scanninger endnu. Det betyder ikke, at det ikke er sket, bare vi har ikke set det,” sagde Liska.
Sikkerhed
Log4j-trussel: Hvad du har brug for at vide, og hvordan du beskytter dig selv Ransomware i 2022: Vi er alle skruet Microsoft Patch tirsdag: Zero-day udnyttet til at sprede Emotet malware Kronos ramt med ransomware, advarer om databrud og 'flere ugers' udfald De bedste VPN'er til små og hjemmebaserede virksomheder i 2021 Regering – USA