Jonathan Greig er en journalist basert i New York City.
Full Bio 17. desember 2021 | Emne: Ransomware
Forskere med sikkerhetsfirmaet Advanced Intelligence har oppdaget at Conti ransomware-gruppen utnytter VMware vCenter Server-forekomster gjennom Log4j-sårbarhetene.
I en rapport på fredag sa sikkerhetsselskapet at det oppdaget flere medlemmer av Conti som diskuterte måter å dra nytte av Log4j-problemet, noe som gjorde dem til den første sofistikerte løsepengevaregruppen som ble oppdaget som prøvde å bevæpne sårbarheten.
AdvIntel sa at den nåværende utnyttelsen “førte til flere brukstilfeller der Conti-gruppen testet mulighetene for å bruke Log4J2-utnyttelsen.”
“Det viktigste er at AdvIntel bekreftet at kriminelle forfulgte å målrette spesifikke sårbare Log4J2 VMware vCenter for lateral bevegelse direkte fra det kompromitterte nettverket, noe som resulterte i vCenter-tilgang som påvirker amerikanske og europeiske offernettverk fra de eksisterende Cobalt Strike-sesjonene,” sa forskerne.
De bemerket at deres undersøkelser av løsepengevarelogger viser at Conti tjente over 150 millioner dollar de siste seks månedene. AdvIntel la ut en tidslinje med hendelser for Contis interesse for Log4j som startet 1. november, da gruppen søkte å finne nye angrepsvektorer. Gjennom hele november redesignet Conti sin infrastruktur da den forsøkte å utvide, og innen 12. desember identifiserte de Log4Shell som en mulighet.
Innen 15. desember begynte de aktivt å målrette vCenter-nettverk for sideveis bevegelse.
Advanced Intelligence
I en uttalelse sa VMware at de ga ut et sikkerhetsråd som inneholder rettelser for de 40 produktene de selger som er sårbare for Log4J-problemet, inkludert vCenter. I meldingen bekrefter de at utnyttelsesforsøk i naturen er bekreftet.
“Enhver tjeneste som er koblet til internett og ennå ikke er korrigert for Log4j-sårbarheten (CVE-2021-44228) er sårbar for hackere, og VMware anbefaler på det sterkeste umiddelbar oppdatering for Log4j,” sa VMware.
AdvIntel la til at det bare er et spørsmål om tid før Conti og andre grupper vil begynne å utnytte Log4j til sin fulle kapasitet.
Khonsari var den første løsepenge-gruppen som begynte å målrette mot Log4j, men ble ansett som lavere karakter og hadde ikke en gang en levedyktig løsepengenota, noe som førte til at noen betraktet det som bare en visker. Forskere i Kina har identifisert TellYouThePass løsepengevare som brukes i angrep mot Windows- og Linux-enheter ved hjelp av Log4j-problemet.
Innspilt fremtidig løsepengevareekspert Allan Liska sa at de siste nyhetene om forskjellige løsepengevaregrupper som utforsker utnyttelse av Log4j, stemmer overens med det han ser.
“IAB-er som jobber med Conti har begynt å skanne etter Log4Shell og sannsynligvis har utnyttet ofre. MEN vi har ikke sett noen bevis på et vellykket løsepenge-angrep som følge av disse skanningene ennå. Betyr ikke at det ikke har skjedd, bare vi har ikke sett det,” sa Liska.
Sikkerhet
Log4j-trussel: Hva du trenger å vite og hvordan du kan beskytte deg selv Ransomware i 2022: Vi er alle skrudd Microsoft Patch Tuesday: Zero-day utnyttet for å spre Emotet malware Kronos rammet med løsepengevare, advarer om datainnbrudd og “flere ukers” utfall De beste VPN-ene for små og hjemmebaserte bedrifter i 2021 Regjeringen – USA