Jonathan Greig er journalist baseret i New York City.
Fuld biografi den 14. december 2021 | Emne: Ransomware
Sikkerhedsforskere har fundet beviser for, at gruppen bag Khonsari-ransomwaren udnytter Log4j-sårbarheden til at levere den. Andre statssponsorerede grupper undersøger også sårbarheden, ifølge forskere ved CrowdStrike.
I en rapport mandag skrev BitDefenders Martin Zugec, at de søndag så angreb mod systemer, der kører Windows-operativsystemet, der forsøgte at implementere en ransomware-familie kaldet Khonsari.
Zugec fortalte ZDNet, at Khonsari er relativt ny ransomware og betragtes som grundlæggende sammenlignet med det sofistikerede niveau, der ses fra mere professionelle ransomware-as-a-service grupper.
“Det er højst sandsynligt en trusselsaktør, der eksperimenterer med denne nye angrebsvektor. Det betyder dog ikke, at mere avancerede aktører ikke kigger på at udnytte Log4j-sårbarheden, det er de helt sikkert. I stedet for at lede efter det mest enkle, korteste vej til indtægtsgenerering, vil de bruge dette mulighedsvindue til at få adgang til netværkene og begynde at forberede sig på et større angreb i fuld skala,” forklarede Zugec.
“Vi ser allerede implementeringer af bagdøre og eksterne shell-implementeringer. Hvis du ikke allerede har patchet, har du muligvis allerede ubudne, sovende gæster i dit netværk.”
Cado Security udgav sin egen rapport om ransomwaren og bemærkede, at den “kun vejer 12 KB og kun indeholder den mest grundlæggende funktionalitet, der kræves for at udføre dets ransomware-mål.”
“Den er størrelse og enkelhed er dog også en styrke – på det tidspunkt, hvor vi kørte malwaren dynamisk, blev den ikke opdaget af systemerne indbygget i Antivirus,” forklarede Cados Matt Muir.
Ransomware-ekspert Brett Callow kaldte Khonsari “ransomware på skridniveau”, men bemærkede, at det er sikkert at antage, at nogle af de andre aktører, der forsøger at udnytte denne sårbarhed, vil være mere avancerede.
“Ikke alle vil være ransomware-bander. Trusselsaktører af alle slags forsøger at finde måder at bruge Log4j til deres fordel,” sagde Callow.
McAfee Enterprise og FireEye Chief Scientist Raj Samani fortalte ZDNet, at de fleste af de nyttelaster, der angriber Log4j, overvejende er generende, men den lethed, hvormed det kan implementeres, og udbredelsen af sårbare systemer betyder, at nyttelasterne meget vel kan blive mere ødelæggende.
“I betragtning af evnen til at eksekvere vilkårlig kode ved hjælp af Log4Shell, malware og mere specifikt ransomware, virker det bestemt som den næste logiske angrebsfase, der er moden til udnyttelse. Vi forventer, at upatchede systemer fortsat vil blive udnyttet med en høj sandsynlighed for ransomware som en ondsindet nyttelast, ” sagde McAfee Enterprise og FireEye leder af avanceret trusselsforskning Steve Povolny.
Webservere er de mest almindelige systemer, der er under angreb lige nu, fordi de er nemme at udnytte og har et godt investeringsafkast, ifølge ESETs Marc-Étienne Léveillé, der tilføjede, at vi i de næste par uger sandsynligvis vil opdage anden software bruger Log4j, der er sårbart.
“Jeg forventer, at ondsindede grupper også vil begynde at scanne efter dem,” sagde Léveillé.
Zugec forklarede, at de fleste nul-dages sårbarheder først angribes af opportunister, der forsøger at bryde sårbare systemer så hurtigt som muligt, hvilket er den fase, IT-teams i øjeblikket befinder sig i med Log4j.
Den anden fase, sagde han, involverer, at sårbarheden bliver et værktøj, der bruges til mere målrettede angreb hen ad vejen.
“Det er uundgåeligt, at ransomware-operatører vil forsøge at etablere fodfæste nu og så udnytte denne sårbarhed på et senere tidspunkt for at forårsage maksimal effekt,” sagde Zugec.
Adam Meyers, SVP for efterretningstjenester hos CrowdStrike, sagde, at hans team har observeret den Iran-baserede statssponsorerede skuespiller NEMESIS KITTEN, der for nylig har implementeret en klassefil på en server, der kunne udløses af Log4J.
“Timingen, hensigten og kapaciteten er i overensstemmelse med, hvad der ville være modstanderens forsøg på at udnytte Log4J. CrowdStrike har tidligere observeret, at NEMESIS KITTEN forsøger både forstyrrende og destruktive angreb,” tilføjede Meyers.
Sophos senior trusselforsker Sean Gallagher forklarede, at Log4Shell-angribere hidtil har været fokuseret på kryptominering, men kaldte det “pasten før stormen”
“Vi forventer, at modstandere sandsynligvis vil få så meget adgang til, hvad de kan få lige nu med henblik på at tjene penge og/eller udnytte det senere. Den mest umiddelbare prioritet for forsvarere er at reducere eksponeringen ved at lappe og afbøde alle hjørner af deres infrastruktur og undersøge udsatte og potentielt kompromitterede systemer. Denne sårbarhed kan være overalt,” sagde Gallagher.
“Hvor systemer er blevet identificeret som sårbare, bør forsvarere køre en hændelsesproces og overvåge for tegn på fjernadgangstrojanske heste såsom C2-tilbagekald. Hemmeligheder gemt på udsatte systemer bør også roteres, især hvis de er eksponeret i miljøvariabler. Overvej endelig kritiske tredjepartsleverandører, som også kan være i fare.”
Sikkerhed
Log4j zero-day-fejl: Hvad du behøver at vide og hvordan du beskytter dig selv Alle er udbrændt. Det er ved at blive et sikkerhedsmareridt De bedste VPN'er til små og hjemmebaserede virksomheder i 2021 Chefer er tilbageholdende med at bruge penge på cybersikkerhed. Så bliver de hacket Ramt af ransomware? Begå ikke denne første åbenlyse fejl Sikkerhed