Liam Tung er en australsk forretningsteknologijournalist, der bor et par for mange svenske mil nord for Stockholm til hans smag. Han tog en bachelorgrad i økonomi og kunst (kulturstudier) ved Sydneys Macquarie University, men hackede sig (uden nordisk eller ondsindet kode for den sags skyld) sig ind i en karriere som enterprise tech-, sikkerheds- og telekommunikationsjournalist hos ZDNet Australia.
Fuld bio den 11. januar 2022 | Emne: Sikkerhed 
Microsoft har bekræftet, at formodede Kina-baserede cyberkriminelle er rettet mod Log4j 'Log4Shell'-fejlen i VMwares Horizon-produkt for at installere NightSky, en ny ransomware-stamme, der dukkede op i december 27.
De økonomisk motiverede ransomware-angreb retter sig mod CVE-2021-44228, den oprindelige Log4Shell-fejl, der blev afsløret den 9. december, og markerer en ny trussel fra den kritiske sårbarhed, der påvirker internetvendt software, systemer og enheder, hvor sårbare versioner af den Java-baserede Log4j applikationsfejllogningskomponent er til stede.
“Allerede den 4. januar begyndte angribere at udnytte CVE-2021-44228-sårbarheden i internetvendte systemer, der kører VMware Horizon. Vores undersøgelse viser, at vellykkede indtrængen i disse kampagner førte til udrulningen af NightSky ransomware,” noterer Microsoft i en opdatering til sine anbefalinger til afbødning af Log4Shell.
SE: Log4j zero-day-fejl: Hvad du behøver at vide, og hvordan du beskytter dig selv
Microsofts resultater tilføjer flere detaljer til en rapport i sidste uge fra den digitale arm af Storbritanniens National Health Service (NHS) at angribere retter sig mod VMwares Horizon-serversoftware, der bruger sårbare versioner af Log4j. Denne rapport bemærkede, at angribere installerede en ondsindet Java-fil, der injicerer en web-shell i VM Blast Secure Gateway-tjenesten, men den indikerede ikke, om ransomware blev implementeret.
Horizon er et af en række af VMwares softwareprodukter, der er påvirket af Log4j-fejl. Sagen demonstrerer de vanskeligheder, administratorer står over for med at identificere systemer, der er påvirket af Log4j. VMware har detaljeret, hvilke versioner af Horizon-komponenter, der er eller ikke er sårbare, og de forskellige afhjælpningstrin for hver, hvis de er sårbare.
Dens rådgivning indikerer, at mindst én version af hver Horizon on-premise-komponent er sårbar. Sårbare on-premise komponenter omfatter Connection Server og HTML Access, Horizon Windows Agent, Linux Agent, Linux Agent Direct Connect, Cloud Connector og vRealize Operations for Desktop Agent. VMware har udgivet opdaterede versioner eller leveret scriptede afhjælpende løsninger.
Microsoft siger, at angrebene udføres af en Kina-baseret ransomware-operatør, som den sporer som DEV-0401, som tidligere har implementeret LockFile, AtomSilo og Rook. Gruppen har også udnyttet internetvendte systemer, der kører Confluence (CVE-2021-26084) og lokale Exchange-servere (CVE-2021-34473), ifølge Microsoft.
Ifølge BleepingComputer identificerede malware-forskere hos MalwareHunterTeam NightSky som en ny ransomware-gruppe den 27. december. GitHub i dag, hævder, at NightSky blot er en ny version af Rook ransomware med et par nøgledesign- og krypteringsændringer, herunder at NightSky leveres som en VMProtect-fil.
BleepingComputer bemærker, at NightSky bruger “dobbelt afpresning”, hvor angriberen ikke kun krypterer et måls data, men stjæler dem og truer med at lække dem, hvis en løsesum ikke betales. Et offer modtog et krav på løsesum på $800.000 for en NightSky-dekryptering.
SE: Log4j-fejl kan være et problem for industrielle netværk “i mange år fremover”
Som ZDNet rapporterede i går, sagde US Cybersecurity and Infrastructure Security Agency (CISA) mandag, at det ikke havde set Log4Shell-udnyttelse resultere i væsentlige indtrængen ud over angrebet på det belgiske forsvarsministerium.
Men det advarede også om, at manglen på væsentlige indtrængen ikke var nogen grund til at reducere behovet for afhjælpning. Angribere, der allerede har udnyttet mål, kan ligge lavt i flere måneder bagefter og vente på, at forsvarere slipper deres vagt, før de går videre med deres nye adgang.
Og store sanktioner kan afvente virksomheder, der ikke anvender tilgængelige patches, hvis sårbare systemer afslører forbrugerdata. FTC advarede i sidste uge, at det ville komme efter virksomheder i den private sektor, der ikke formåede at beskytte forbrugerdata, der blev afsløret som følge af Log4j.
CISA's vurdering af, at Log4j-truslen langt fra er overstået, stemmer overens med Microsofts vurdering, som understreger, at Log4j er en “højrisikosituation”, til dels fordi mange organisationer ikke nemt kan se, hvilke produkter og tjenester der er berørt af Log4j.
Microsoft sagde, at Log4j-sårbarhederne repræsenterer en kompleks og højrisikosituation for virksomheder over hele kloden: “Sårbarhederne påvirker ikke kun applikationer, der bruger sårbare biblioteker, men også alle tjenester, der bruger disse applikationer, så kunderne måske ikke umiddelbart ved, hvor udbredt problemet er. er i deres miljø.”
Microsoft sagde også, at kunder skulle bruge scripts og scanningsværktøjer til at vurdere deres risiko og indvirkning, men advarer om, at de har set angribere bruge mange af de samme opgørelsesteknikker til at lokalisere mål: “Sofistikerede modstandere (som nationalstater) både aktører) og råvareangribere er blevet observeret drage fordel af disse sårbarheder. Der er et stort potentiale for udvidet brug af sårbarhederne.”
Sikkerhed
NoReboot-angreb forfalsker iOS-telefon nedlukning for at spionere på dig. JFrog-forskere finder JNDI-sårbarhed i H2-databasekonsoller svarende til Log4Shell Cybersecurity-træning virker ikke. Og hackingangreb bliver værre De 5 bedste VPN-tjenester i 2022 De største databrud, hacks af 2021 Security TV | Datastyring | CXO | Datacentre