Liam Tung är en australisk affärsteknikjournalist som bor några för många svenska mil norr om Stockholm för sin smak. Han tog en kandidatexamen i ekonomi och konst (kulturstudier) vid Sydneys Macquarie University, men hackade sig (utan norrön eller skadlig kod för den delen) in i en karriär som företagsteknik-, säkerhets- och telekommunikationsjournalist med ZDNet Australia.
Fullständig bio den 11 januari 2022 | Ämne: Säkerhet 
Microsoft har bekräftat att misstänkta Kina-baserade cyberbrottslingar riktar sig mot Log4j 'Log4Shell'-felet i VMwares Horizon-produkt för att installera NightSky, en ny ransomware-stam som dök upp i december 27.
De ekonomiskt motiverade ransomware-attackerna riktar sig mot CVE-2021-44228, det ursprungliga Log4Shell-felet som avslöjades den 9 december, och markerar ett nytt hot som utgörs av den kritiska sårbarheten som påverkar internetvända mjukvara, system och enheter där sårbara versioner av den Java-baserade Log4j programfelloggningskomponent finns.
“Så tidigt som den 4 januari började angripare utnyttja sårbarheten CVE-2021-44228 i internetanslutna system som kör VMware Horizon. Vår undersökning visar att framgångsrika intrång i dessa kampanjer ledde till utplaceringen av NightSky ransomware,” noterar Microsoft i en uppdatering av sina rekommendationer för att mildra Log4Shell.
SE: Log4j zero-day flaw: Vad du behöver veta och hur du skyddar dig
Microsofts resultat lägger till fler detaljer till en rapport förra veckan från den digitala grenen av Storbritanniens National Health Service (NHS) att angripare riktar in sig på VMwares Horizon-serverprogramvara som använder sårbara versioner av Log4j. Rapporten noterade att angripare installerade en skadlig Java-fil som injicerar ett webbskal i VM Blast Secure Gateway-tjänsten, men det indikerade inte om ransomware var utplacerat.
Horizon är en av ett antal av VMwares mjukvaruprodukter som påverkas av Log4j-brister. Fallet visar de svårigheter som administratörer möter när det gäller att identifiera system som påverkas av Log4j. VMware har detaljerat vilka versioner av Horizon-komponenter som är eller inte är sårbara, och de olika åtgärdsstegen för var och en om de är sårbara.
Dess råd indikerar att minst en version av varje Horizon on-premise-komponent är sårbar. Sårbara komponenter på plats inkluderar Connection Server och HTML Access, Horizon Windows Agent, Linux Agent, Linux Agent Direct Connect, Cloud Connector och vRealize Operations for Desktop Agent. VMware har släppt uppdaterade versioner eller tillhandahållit skriptade begränsningslösningar.
Microsoft säger att attackerna utförs av en Kina-baserad ransomware-operatör som den spårar som DEV-0401, som tidigare har distribuerat LockFile, AtomSilo och Rook. Gruppen har också utnyttjat internet-vända system som kör Confluence (CVE-2021-26084) och lokala Exchange-servrar (CVE-2021-34473), enligt Microsoft.
Enligt BleepingComputer identifierade malware-forskare vid MalwareHunterTeam NightSky som en ny ransomware-grupp den 27 december. GitHub hävdar idag att NightSky bara är en ny version av Rook ransomware med några viktiga design- och krypteringsändringar, inklusive att NightSky levereras som en VMProtect-fil.
BleepingComputer noterar att NightSky använder “dubbel utpressning”, där angriparen inte bara krypterar ett måls data utan stjäl den och hotar att läcka den om en lösensumma inte betalas. Ett offer fick ett krav på lösensumma på $800 000 för en NightSky-dekryptering.
SE: Log4j-fel kan vara ett problem för industriella nätverk “i många år framöver”
Som ZDNet rapporterade i går sa den amerikanska byrån för cybersäkerhet och infrastruktursäkerhet (CISA) på måndagen att de inte hade sett Log4Shell-exploatering resultera i betydande intrång utöver attacken mot det belgiska försvarsministeriet.
Men det varnade också för att bristen på betydande intrång inte var någon anledning att minska behovet av sanering. Angripare som redan har utnyttjat mål kan ligga lågt i månader efteråt och vänta på att försvarare ska släppa sin vakt innan de går vidare med sin nya tillgång.
Och stora påföljder kan vänta på företag som inte tillämpar tillgängliga patchar om sårbara system exponerar konsumentdata. FTC förra veckan varnade att det skulle komma efter företag i den privata sektorn som misslyckades med att skydda konsumentdata som exponerats till följd av Log4j.
CISA:s bedömning att Log4j-hotet är långt ifrån över stämmer överens med Microsofts bedömning, som betonar att Log4j är en “högrisksituation” delvis eftersom många organisationer inte enkelt kan avgöra vilka produkter och tjänster som påverkas av Log4j.
Microsoft sa att Log4j-sårbarheterna representerar en komplex och högrisksituation för företag över hela världen: “Sårbarheterna påverkar inte bara applikationer som använder sårbara bibliotek, utan även alla tjänster som använder dessa applikationer, så kunderna kanske inte så lätt vet hur utbrett problemet är. finns i deras miljö.”
Microsoft sa också att kunder borde använda skript och skanningsverktyg för att bedöma deras risk och påverkan, men varnar för att angripare har använt många av samma inventeringstekniker för att lokalisera mål: “Sofistikerade motståndare (som nationalstater) både aktörer) och råvaruangripare har observerats utnyttja dessa sårbarheter. Det finns stor potential för utökad användning av sårbarheterna.”
Säkerhet
NoReboot attack fejkar iOS-telefon avstängning för att spionera på dig JFrog-forskare hittar JNDI-sårbarhet i H2-databaskonsoler som liknar Log4Shell Cybersecurity-träning fungerar inte. Och hackattacker blir värre De 5 bästa VPN-tjänsterna 2022 De största dataintrången, hackarna från 2021 Security TV | Datahantering | CXO | Datacenter