Cyberattackare som försöker utnyttja den utbredda sårbarheten i Apache Log4j har fortsatt att bredda sin räckvidd och har börjat försöka attackera som potentiellt är allvarligare, såsom ransomware, sa cybersäkerhetsforskare.
Forskare vid cybersäkerhetsjätten Check Point sa idag att de har observerat försök till utnyttjande av Log4j-sårbarheten, känd som Log4Shell, på mer än 44 % av företagsnätverk världen över. Det är upp från 40 % en dag tidigare, enligt Check Point.
Matthew Prince, vd för Cloudflare, sa på tisdagsmorgonen på Twitter att “nyttolaster [are] blir läskigare. Ransomware-nyttolaster började gälla under de senaste 24 timmarna.” Cloudflare avböjde att kommentera ytterligare.
Ransomware upptäckt
Cyberföretaget Bitdefender rapporterade samtidigt att det har upptäckt försök att distribuera en ransomware-nyttolast riktad mot ett Windows-system genom att utnyttja sårbarheten Log4j.
Angriparen försökte installera en ny ransomware-familj, Khonsari, uppkallad efter tillägget som finns i nyttolastens krypterade filer. Även om Bitdefender har sett flera försök att distribuera denna ransomware, “Khonsari är inte utbredd vid denna tidpunkt”, sa Martin Zugec, teknisk lösningschef på Bitdefender, i ett e-postmeddelande.
Andra hotforskare sa till VentureBeat att de ännu inte har observerat ransomware-nyttolaster som har utnyttjat Log4j-sårbarheten.
“Vi har inte nödvändigtvis sett direkt utplacering av ransomware, men det är bara en tidsfråga”, säger Nick Biasini, chef för uppsökande verksamhet på Cisco Talos, i ett mejl. “Det här är en sårbarhet med hög stränghet som kan hittas i otaliga produkter. Den tid som krävs för att allt ska lappas enbart kommer att tillåta olika hotgrupper att utnyttja detta i en mängd olika attacker, inklusive ransomware.”
Check Point sa att det inte heller har observerat ransomware-försök relaterade till Log4j, men talesperson Ekram Ahmed sa att företaget ser ransomware-attacker som “mycket sannolika”.
Akamai har observerat angripare som försöker rikta in sig på Windows-maskiner och försöker distribuera verktyg för eskalering av rättigheter, som winPEAS, säger Aparna Rayasam, chef för applikationssäkerhet på företaget.
“Detta är grundarbete för att möjliggöra aktiviteter som ransomware,” sa Rayasam i ett mejl. Ändå, “av de övergripande attackerna vi har observerat hittills verkar bara en liten andel vara relaterade till ransomware. Majoriteten av förfrågningarna verkar vara spaningsrelaterade”, sa hon.
“Fler aggressiva attacker” kommer
I sin blogguppdatering på tisdag rapporterade Check Point-forskare att de spårar en attack med skadlig programvara spårad till en IP-adress i USA, som är värd för skadliga filer inklusive en kryptogruvarbetare och Cobalt Strike. Cobalt Strike-verktyget är populärt bland ransomware-gäng för aktiviteter som fjärrövervakning och sidorörelser, och Microsoft hade tidigare rapporterat att de sett installationen av verktyget i samband med Log4j-utnyttjningar.
Matt Olney, chef för hotintelligens och förbud på Cisco Talos, sa på måndagen att företaget har sett en ökning av skadliga Cobalt Strike-servrar som kommit online de senaste dagarna.
Sean Gallagher, en senior hotforskare vid Sophos, sa till VentureBeat idag att “förutom fortsatta försök att släppa kryptovalutagruvarbetare och mining botnät, ser vi en relativt lugn period jämfört med de första undersökningarna för sårbarheter vi såg under helgen.”
“Men baserat på tidigare erfarenheter med sårbarheter som Log4j, förväntar vi oss att detta kommer att följas av mer aggressiva attacker,” sa Gallagher i ett mejl. “Dessa skulle innefatta riktade ansträngningar för att få tillgång till sårbara system för att stjäla data eller plantera bakdörrar för att möjliggöra långsiktig informationsstöld av spioner, åtkomstmäklare (som säljer bakdörren till andra) och andra cyberkriminella. Och de andra brottslingarna kommer oundvikligen att inkludera gäng med ransomware.”
Utbredd brist
Log4j är ett loggningsbibliotek med öppen källkod som används flitigt i företagsprogramvara och molntjänster. Många applikationer och tjänster skrivna i Java är potentiellt sårbara för Log4Shell, vilket kan möjliggöra fjärrexekvering av kod av oautentiserade användare.
Felet anses vara mycket farligt på grund av Log4j:s breda användning och eftersom sårbarheten anses vara trivial att utnyttja. Detektering och sanering försvåras ännu mer av det faktum att mycket av användningen av Log4j har varit indirekt — med loggningsbiblioteket som ofta används via Java-ramverk som Apache Struts 2, Apache Solr och Apache Druid.
Intern forskning från Wiz tyder på att mer än 89% av alla miljöer har haft sårbara Log4j-bibliotek. Log4Shell-sårbarheten avslöjades sent på torsdagen.
Utplacering av skadlig programvara som drar fördel av Log4Shell har pågått i flera dagar, och forskare rapporterar att de har observerat användningen av Mirai- och Muhstik-botnät för att distribuera DDoS-attacker (Distributed Denial of Service) samt distribution av Kinsing malware för kryptomining. Cisco Talos rapporterade idag att de observerade e-postbaserade attacker som försöker utnyttja Log4Shell.
Utbud av attacker
Tillsammans med Khonsari ransomware rapporterade Bitdefender också försök att distribuera Orcus fjärråtkomsttrojan, Muhstik-botnät och omvända bash-skal för framtida attacker, såväl som framgångsrika myntminersattacker. Företagets telemetri har hittat totalt 7 000 attackförsök baserat på Log4j-sårbarheten, berättade Zugec för VentureBeat.
När detta skrivs har det inte funnits något offentligt avslöjande av ett framgångsrikt ransomware-intrång som utnyttjade sårbarheten i Log4j.
Efter ransomware-attacken på personalprogramvaruföretaget Kronos i lördags finns det för närvarande “ingen indikation” på en koppling till Log4j-sårbarheten, enligt en företagsuppdatering idag, som en talesman bekräftade representerar den senaste informationen. Företaget sa att det undersöker den möjligheten.
Både Kronos och delstatens lagstiftande församling i Virginia, som såg en ransomware-attack i fredags, är kända för att använda eller ha licenser för användning av Java, enligt en Ars Technica-rapport. En talesperson för delstatens lagstiftande församling i Virginia kunde inte omedelbart nås på tisdagen.
VentureBeats uppdrag ska vara ett digitalt stadstorg för tekniska beslutsfattare att få kunskap om transformativ företagsteknik och handla. Läs mer om medlemskap.
