Hakerzy wykorzystują lukę w zabezpieczeniach Log4j do infekowania komputerów – Khonsari Ransomware

W bibliotece Apache Log4j wykryto krytyczną podatność CVE-2021-44228 (Log4Shell), która pozwala na zdalne wykonanie kodu. Biblioteka ta jest używana przez biblioteki do logowania zdarzeń, używanych przez aplikacje w języku Java. Z biblioteki tej korzysta bardzo wiele komercyjnych aplikacji i jest bardzo duże prawdopodobieństwo wystąpienia zagrożenia związanego z tą podatnością w organizacjach. Bitdefender ujawnił 13.12.2021, że podejmowane są próby atakowania komputerów z systemem Windows za pomocą nowej rodziny oprogramowania ransomware o nazwie Khonsari, a także trojana zdalnego dostępu o nazwie Orcus. Atakujący wykorzystuje lukę w zdalnym wykonaniu kodu, aby pobrać dodatkowy plik binarny .NET, ze zdalnego serwera, który szyfruje wszystkie pliki z rozszerzeniem „.khonsari” i wyświetla żądanie okupu, ze wskazaniem możliwości dokonania płatności w Bitcoinach, jako wymiana za odzyskanie dostępu do plików.
Luka została skalsyfikowana jako CVE-2021-44228 i jest również znana pod pseudonimami „Log4Shell” lub „Logjam”. Mówiąc prościej, błąd może zmusić zainfekowany system do pobrania złośliwego oprogramowania, dając atakującym dostęp do serwerów znajdujących się w sieciach korporacyjnych.
Log4j to biblioteka Java typu open source utrzymywana przez organizację non-profit Apache Software Foundation. Gromadząc około 475 000 pobrań z projektu GitHub i szeroko stosowane do rejestrowania zdarzeń aplikacji, narzędzie jest również częścią innych frameworków, takich jak Elasticsearch, Kafka i Flink, które są używane w wielu popularnych witrynach i usługach.
Amerykańska Agencja ds. Bezpieczeństwa Cyberbezpieczeństwa i Infrastruktury (CISA) opublikowała ostrzeżenie o aktywnym i powszechnym wykorzystywaniu tej luki, która, jeśli nie zostanie usunięta, może zapewnić nieograniczony dostęp i wyzwolić nową falę cyberataków.
„Atakujący może wykorzystać tę lukę, przesyłając specjalnie spreparowane żądanie do podatnego systemu, które powoduje, że system wykonuje dowolny kod” – podała agencja w opublikowanych w poniedziałek wytycznych. „Żądanie to pozwala przeciwnikowi przejąć pełną kontrolę nad systemem. Przeciwnik może wtedy ukraść informacje, uruchomić oprogramowanie ransomware lub przeprowadzić inną złośliwą aktywność”.
Do tej pory aktywne próby eksploatacji, które zostały zarejestrowane, polegały na wykorzystywaniu luki w celu wciągnięcia urządzeń do botnetu i zrzucenia dodatkowych złośliwych aplikacji, takich jak Cobalt Strike i koparki kryptowalut. Firma Sophos zajmująca się cyberbezpieczeństwem stwierdziła, że zaobserwowała również próby eksfiltracji kluczy i innych prywatnych danych z Amazon Web Services. Na znak, że zagrożenie szybko ewoluuje, badacze Check Point ostrzegli przed wprowadzeniem 60 nowych odmian oryginalnego exploita Log4j w czasie krótszym niż 24 godziny, dodając, że zablokował on ponad 845 000 prób włamań, przy czym 46% ataków przeprowadzanych przez dobrze znane złośliwe oprogramowanie. Zdecydowana większość prób wykorzystania Log4Shell miała swój początek w Rosji (4 275), w oparciu o dane telemetryczne z firmy Kaspersky, następnie w Brazylii (2493), Stanach Zjednoczonych (1746), Niemczech (1336), Meksyku (1177), Włoszech (1094). ), Francji (1008) i Iranie (976). Dla porównania, z Chin zanotowano tylko 351 prób. Pomimo mutacji charakteru exploita, rozpowszechnienie tego narzędzia w wielu sektorach postawiło również w stan wysokiej gotowości branże odpowiedzialne za przemysłowe systemy sterowania i środowisk technologii operacyjnych, zasilających krytyczną infrastrukturę.
Opracowanie po raz kolejny pokazuje, w jaki sposób główne luki w zabezpieczeniach zidentyfikowane w oprogramowaniu typu open source mogą wywołać poważne zagrożenie dla organizacji, które zawierają takie gotowe zależności w swoich systemach informatycznych. Pomijając szeroki zasięg, Log4Shell jest tym bardziej zaniepokojony względną łatwością użytkowania, kładąc podwaliny pod przyszłe ataki ransomware.
„Aby było jasne, ta luka stanowi poważne zagrożenie” – powiedziała dyrektor CISA Jen Easterly. „Ta luka, która jest szeroko wykorzystywana przez rosnącą grupę cyberprzestępców, stanowi pilne wyzwanie dla obrońców sieci, biorąc pod uwagę jej szerokie zastosowanie. Sprzedawcy powinni również komunikować się ze swoimi klientami, aby upewnić się, że użytkownicy końcowi wiedzą, że ich produkt zawiera tę lukę i powinni priorytetyzuj aktualizacje oprogramowania”.