Jonathan Greig är journalist baserad i New York City.
Fullständig bio den 17 december 2021 | Ämne: Ransomware
Forskare med säkerhetsföretaget Advanced Intelligence har upptäckt att Conti ransomware-gruppen utnyttjar VMware vCenter Server-instanser genom Log4j-sårbarheterna.
I en rapport på fredagen sa säkerhetsföretaget att det upptäckte flera medlemmar av Conti som diskuterade sätt att dra fördel av Log4j-problemet, vilket gjorde dem till den första sofistikerade ransomware-gruppen som upptäcktes som försökte beväpna sårbarheten.
AdvIntel sa att den nuvarande exploateringen “ledde till flera användningsfall där Conti-gruppen testade möjligheterna att använda Log4J2-exploatet.”
“Det viktigaste är att AdvIntel bekräftade att brottslingarna försökte rikta sig mot specifika sårbara Log4J2 VMware vCenter för lateral rörelse direkt från det komprometterade nätverket, vilket resulterade i vCenter-åtkomst som påverkar amerikanska och europeiska offernätverk från de redan existerande Cobalt Strike-sessionerna,” sa forskarna.
De noterade att deras forskning av ransomware-loggar visar att Conti tjänat över 150 miljoner dollar under de senaste sex månaderna. AdvIntel lade ut en tidslinje för händelser för Contis intresse för Log4j med start den 1 november, när gruppen försökte hitta nya attackvektorer. Under hela november designade Conti om sin infrastruktur när den ville expandera och senast den 12 december identifierade de Log4Shell som en möjlighet.
Senast den 15 december började de aktivt rikta in sig på vCenter-nätverk för sidorörelse.
Advanced Intelligence
I ett uttalande sa VMware att de har utfärdat en säkerhetsrådgivning som innehåller korrigeringar för de 40 produkter de säljer som är sårbara för Log4J-problemet, inklusive vCenter. I rådgivningen bekräftar de att exploateringsförsök i det vilda har bekräftats.
“Alla tjänster som är anslutna till internet och ännu inte patchade för Log4j-sårbarheten (CVE-2021-44228) är sårbara för hackare, och VMware rekommenderar starkt omedelbar patchning för Log4j,” sa VMware.
AdvIntel tillade att det bara är en tidsfråga innan Conti och andra grupper kommer att börja utnyttja Log4j till sin fulla kapacitet.
Khonsari var den första ransomware-gruppen som började rikta in sig på Log4j men ansågs vara lägre och hade inte ens en genomförbar lösennota, vilket ledde till att vissa betraktade det som en torkare. Forskare i Kina har identifierat TellYouThePass ransomware som används i attacker mot Windows- och Linux-enheter med Log4j-problemet.
Inspelad framtida ransomware-expert Allan Liska sa att de senaste nyheterna om olika ransomware-grupper som utforskar utnyttjandet av Log4j stämmer överens med vad han ser.
“IABs som arbetar med Conti har börjat skanna efter Log4Shell och sannolikt har utnyttjat offer. MEN vi har inte sett några bevis på en lyckad ransomware-attack till följd av dessa skanningar än. Betyder inte att det inte har hänt, bara att vi inte har sett det, säger Liska.
Säkerhet
Log4j-hot: Vad du behöver veta och hur du skyddar dig Ransomware 2022: Vi är alla skruvade Microsoft Patch Tisdag: Zero-day utnyttjas för att sprida Emotet skadlig programvara Kronos drabbades av ransomware, varnar för dataintrång och “flera veckors” avbrott De bästa VPN:erna för små och hembaserade företag 2021 Regering – USA