Night Sky – Os cibercriminosos por trás deste ransomware iniciaram uma campanha para explorar a vulnerabilidade crítica conhecida como Log4Shell (CVE-2021-44228), que afeta a biblioteca de log Log4j, amplamente utilizada em aplicações web Java. O objetive neste caso, foi para obter acesso aos servidores VMware Horizon e que estivessem expostos publicamente na Internet. Explorando esta vulnerabilidade, os cibercriminosos poderiam infectar o sistema com o ransomware Night Sky

O Vmware Horizon é usado para a virtualização de desktops e aplicativos na nuvem, permitindo que os usuários os acessem remotamente através de um client dedicado ou de um navegador de Internet. Além disso, também é uma solução para melhorar o gerenciamento, a conformidade com a segurança e a automação em toda a farm de sistemas virtuais.

Os ataques começaram no início de janeiro de 2022

Identificado no final de dezembro de 2021 pelo pesquisador de segurança MalwareHunterTeam, o ransomware Night Sky foca em criptografar dados de redes corporativas, onde em uma delas chegou a pedir resgate de 800 mil dólares

A Vmware corrigiu a vulnerabilidade nos produtos Horizon e forneceu soluções alternativas para clientes que não puderam instalar a nova versão que contém a correção (2111, 7.13.1, 7.10.3). No entanto, algumas empresas ainda não aplicaram a correção.

Já em 4 de janeiro, os invasores começaram a explorar a vulnerabilidade CVE-2021-44228 em sistemas expostos na Internet que estavam executando o Vmware Horizon. Nossa investigação mostrou que ataques bem-sucedidos nestas campanhas levaram a implantação do ransomware NightSky”, diz a Microsoft.

O grupo já é conhecido

A empresa acrescenta que o grupo é conhecido por ter implantado outras famílias de ransomware no passado, como o LockFile, AtomSilo e Rook.

Ataques anteriores deste grupo também exploraram problemas de segurança em sistemas como o Confluence (CVE-2021-26084) e servidores locais Exchange (CVE-2021-34473). Acredita-se que o Night Sky seja uma continuação destas campanhas acima mencionadas.

Existe uma ligação com o ransomware Rook. Após ter realizado uma engenharia reversa do malware, Jiří Vinopal, analista forense do CERT da República Tcheca, descobriu que o Night Sky é um fork do ransomware Rook.

A Microsoft observa que os operadores do ransomware dependem de servidores de comando e controle para personificarem domínios usados por empresas legítimas, como as de segurança cibernética Sophos, Trend Micro, as de tecnologia, Nvidia e Rogers Corporation, por exemplo.

O Log4Shell é um atraente vetor de ataque para hackers patrocinados por governos e para cibercriminosos, pois a biblioteca Log4j está presente em uma ampla variedade de sistemas. Além disso, a vulnerabilidade pode ser explorada remotamente em sistemas vulneráveis expostos na Internet ou na rede local, por um adversário local para se mover lateralmente para sistemas internos sensíveis.

Night Sky: Ransomware usa bug do Log4j para atacar servidores VMware
Usando o Microsoft 365 Defender para proteger contra ameaças que tiram proveito da vulnerabilidade no Log4j | Créditos da imagem: https://www.microsoft.com/security/blog/2021/12/11/guidance-for-preventing-detecting-and-hunting-for-cve-2021-44228-log4j-2-exploitation/

Após a CVE-2021-44228 ter sido publicada no início de dezembro de 2021, muitas PoCs (Provas de conceito) foram disponibilizadas no Github, gerando em seguida um efeito massivo de tentativas de ataques e explorações em sistemas-alvo.

Clique neste link para ver como a coisa começou.

Referências:

https://www.bleepingcomputer.com/news/security/night-sky-ransomware-uses-log4j-bug-to-hack-vmware-horizon-servers/

Créditos da imagem usada na capa do post:

https://segredosdomundo.r7.com/maiores-hackers-do-mundo/

O que achou?

Animado
0
Feliz
0
Amei
0
Não tenho certeza
0
Bobo
0
RMJ
Adoro letras verdes sob um fundo preto...