Realmente os ataques que exploram a vulnerabilidade Log4Shell não têm fim. Sabemos que isso tudo é apenas a ponta do iceberg, que esta exploração pode ser ponte para vários outros tipos de ataques, conforme será relatado a seguir. Saiba um pouco mais sobre a vulnerabilidade Log4Shell que postamos aqui no site.

Cibercriminosos então, trouxeram à vida uma família de ransomware antiga e aparentemente inativa conhecida como TellYouThePass, usando-a em ataques contra sistemas Windows e Linux com o objetivo de explorar a vulnerabilidade Log4Shell no tão noticiado Apache Log4j, o famoso sistema de logs para aplicações web feitas na linguagem Java.

Heige, da KnownSec 404, publicou um post no Twitter (veja abaixo), na segunda (13 de dezembro de 2021), onde falava destes ataques, após observar que um ransomware infectou versões antigas do Windows por meio de exploits que se aproveitavam da vulnerabilidade no Log4j.

O report de Heige foi confirmado pelo Time de Inteligência de Ameaças da Sangfor, que coletou com sucesso uma das amostras do ransomware TellYouThePass implantadas em ataques usando exploits da vulnerabilidade Log4Shell, mirando alvos chineses, de acordo com a Curated Intelligence.

Descobriram também (e confirmado por Germnán Fernández no Twitter) que o ransomware tem uma versão para o Linux que coleta as chaves SSH e se move lateralmente nas redes das vítimas.

É importante notar que esta não é a primeira vez que o ransomware TellYouThePass utilizou vulnerabilidades de alto risco para lançar outros ataques”, disseram os pesquisadores da Sangfor. “Já no ano passado, usaram o exploit EternalBlue para atacar várias empresas”.

Outros pesquisadores (aqui e aqui) de segurança também analisaram uma das amostras do ransomware utilizadas nos ataques e alegaram que provavelmente pertencia à família do TellYouThePass.

De acordo com as estatísticas de envio para o serviço ID Ransomware, o TellYouThePass teve um aumento repentino e massivo em suas atividades após muitas Provas de Conceito (PoC) da vulnerabilidade Log4Shell terem sido disponibilizadas online.

Log4Shell: Antigo ransomware é usado em ataques ao Log4j [!!!]
Créditos da imagem: https://www.bleepingcomputer.com/news/security/tellyouthepass-ransomware-revived-in-linux-windows-log4j-attacks/

A vulnerabilidade Log4Shell explorada em ataques de ransomware

O TellYouThePass não é a primeira “cepa” de ransomware usada nestes ataques desde que cibercriminosos com motivação financeira começaram a injetar mineradores do Monero em sistemas comprometidos e hackers patrocinados por governos começarem a explorá-la para criar pontes para outras atividades.

A BitDefender relatou em seu boletim de segurança, que pela primeira vez encontrou uma nova família de ransomware (que atuava como um tipo de wiper, ou “limpador” na tradução literal) que apelideram de Khonsari, sendo instalado por meio de exploits que tinham o objetivo de explorar a vulnerabilidade Log4Shell.

A Equipe de Inteligência de Ameaças do Microsoft 365 Defender também observou payloads do ransomware Khonsari sendo baixados em servidores do game Minecraft.

Por último, mas não menos importante, os operadores do ransomware Conti também adicionaram um exploit para o Log4Shell ao seu arsenal para realizar movimentações laterais nas redes das vítimas, obter acesso a instâncias do VMWare vCenter Server e criptografar máquinas virtuais.

A CISA, Agência de Segurança de Infraestrutura e Cibersegurança dos EUA, pediu em um comunicado nesta sexta, 17 de dezembro, que agências federais dos EUA corrigissem seus sistemas contra a vulnerabilidade Log4Shell nos próximos seis dias, com o prazo final de 23 de dezembro.

Essa vulnerabilidade ainda dará muitas dores de cabeça para as empresas. A dica de ouro é: instale a última versão do Log4j (2.16.0) em suas aplicações que o utilizam ou execute medidas de contorno que também te darão segurança. Acesse nosso post sobre o tema para consultas estas e outras dicas e assim ficar mais seguro(a) e tranquilo(a) também!

Referência:

https://www.bleepingcomputer.com/news/security/tellyouthepass-ransomware-revived-in-linux-windows-log4j-attacks/

O que achou?

Animado
0
Feliz
0
Amei
0
Não tenho certeza
0
Bobo
0
RMJ
Adoro letras verdes sob um fundo preto...