Log4j-exploater försökte göras på 44 % av företagsnätverken; ransomware nyttolaster upptäckt

Log4j sårbarhet öppnade dörren för ransomware-operatörerna


Cyberattackare som försöker utnyttja den utbredda sårbarheten i Apache Log4j har fortsatt att bredda sin räckvidd och har börjat försöka attackera som potentiellt är allvarligare, såsom ransomware, sa cybersäkerhetsforskare.

Forskare vid cybersäkerhetsjätten Check Point sa idag att de har observerat försök till utnyttjande av Log4j-sårbarheten, känd som Log4Shell, på mer än 44 % av företagsnätverk världen över. Det är upp från 40 % en dag tidigare, enligt Check Point.

Matthew Prince, vd f√∂r Cloudflare, sa p√• tisdagsmorgonen p√• Twitter att “nyttolaster [are] blir l√§skigare. Ransomware-nyttolaster b√∂rjade g√§lla under de senaste 24 timmarna.” Cloudflare avb√∂jde att kommentera ytterligare.

Ransomware upptäckt

Cyberföretaget Bitdefender rapporterade samtidigt att det har upptäckt försök att distribuera en ransomware-nyttolast riktad mot ett Windows-system genom att utnyttja sårbarheten Log4j.

Angriparen f√∂rs√∂kte installera en ny ransomware-familj, Khonsari, uppkallad efter till√§gget som finns i nyttolastens krypterade filer. √Ąven om Bitdefender har sett flera f√∂rs√∂k att distribuera denna ransomware, “Khonsari √§r inte utbredd vid denna tidpunkt”, sa Martin Zugec, teknisk l√∂sningschef p√• Bitdefender, i ett e-postmeddelande.

Andra hotforskare sa till VentureBeat att de ännu inte har observerat ransomware-nyttolaster som har utnyttjat Log4j-sårbarheten.

“Vi har inte n√∂dv√§ndigtvis sett direkt utplacering av ransomware, men det √§r bara en tidsfr√•ga”, s√§ger Nick Biasini, chef f√∂r upps√∂kande verksamhet p√• Cisco Talos, i ett mejl. “Det h√§r √§r en s√•rbarhet med h√∂g str√§nghet som kan hittas i otaliga produkter. Den tid som kr√§vs f√∂r att allt ska lappas enbart kommer att till√•ta olika hotgrupper att utnyttja detta i en m√§ngd olika attacker, inklusive ransomware.‚ÄĚ

Check Point sa att det inte heller har observerat ransomware-f√∂rs√∂k relaterade till Log4j, men talesperson Ekram Ahmed sa att f√∂retaget ser ransomware-attacker som “mycket sannolika”.

Akamai har observerat angripare som försöker rikta in sig på Windows-maskiner och försöker distribuera verktyg för eskalering av rättigheter, som winPEAS, säger Aparna Rayasam, chef för applikationssäkerhet på företaget.

“Detta √§r grundarbete f√∂r att m√∂jligg√∂ra aktiviteter som ransomware,” sa Rayasam i ett mejl. √Ąnd√•, “av de √∂vergripande attackerna vi har observerat hittills verkar bara en liten andel vara relaterade till ransomware. Majoriteten av f√∂rfr√•gningarna verkar vara spaningsrelaterade‚ÄĚ, sa hon.

“Fler aggressiva attacker” kommer

I sin blogguppdatering på tisdag rapporterade Check Point-forskare att de spårar en attack med skadlig programvara spårad till en IP-adress i USA, som är värd för skadliga filer inklusive en kryptogruvarbetare och Cobalt Strike. Cobalt Strike-verktyget är populärt bland ransomware-gäng för aktiviteter som fjärrövervakning och sidorörelser, och Microsoft hade tidigare rapporterat att de sett installationen av verktyget i samband med Log4j-utnyttjningar.

Matt Olney, chef för hotintelligens och förbud på Cisco Talos, sa på måndagen att företaget har sett en ökning av skadliga Cobalt Strike-servrar som kommit online de senaste dagarna.

Sean Gallagher, en senior hotforskare vid Sophos, sa till VentureBeat idag att “f√∂rutom fortsatta f√∂rs√∂k att sl√§ppa kryptovalutagruvarbetare och mining botn√§t, ser vi en relativt lugn period j√§mf√∂rt med de f√∂rsta unders√∂kningarna f√∂r s√•rbarheter vi s√•g under helgen.”

“Men baserat p√• tidigare erfarenheter med s√•rbarheter som Log4j, f√∂rv√§ntar vi oss att detta kommer att f√∂ljas av mer aggressiva attacker,” sa Gallagher i ett mejl. “Dessa skulle innefatta riktade anstr√§ngningar f√∂r att f√• tillg√•ng till s√•rbara system f√∂r att stj√§la data eller plantera bakd√∂rrar f√∂r att m√∂jligg√∂ra l√•ngsiktig informationsst√∂ld av spioner, √•tkomstm√§klare (som s√§ljer bakd√∂rren till andra) och andra cyberkriminella. Och de andra brottslingarna kommer oundvikligen att inkludera g√§ng med ransomware.‚ÄĚ

Utbredd brist

Log4j är ett loggningsbibliotek med öppen källkod som används flitigt i företagsprogramvara och molntjänster. Många applikationer och tjänster skrivna i Java är potentiellt sårbara för Log4Shell, vilket kan möjliggöra fjärrexekvering av kod av oautentiserade användare.

Felet anses vara mycket farligt p√• grund av Log4j:s breda anv√§ndning och eftersom s√•rbarheten anses vara trivial att utnyttja. Detektering och sanering f√∂rsv√•ras √§nnu mer av det faktum att mycket av anv√§ndningen av Log4j har varit indirekt ‚ÄĒ med loggningsbiblioteket som ofta anv√§nds via Java-ramverk som Apache Struts 2, Apache Solr och Apache Druid.

Intern forskning från Wiz tyder på att mer än 89% av alla miljöer har haft sårbara Log4j-bibliotek. Log4Shell-sårbarheten avslöjades sent på torsdagen.

Utplacering av skadlig programvara som drar fördel av Log4Shell har pågått i flera dagar, och forskare rapporterar att de har observerat användningen av Mirai- och Muhstik-botnät för att distribuera DDoS-attacker (Distributed Denial of Service) samt distribution av Kinsing malware för kryptomining. Cisco Talos rapporterade idag att de observerade e-postbaserade attacker som försöker utnyttja Log4Shell.

Utbud av attacker

Tillsammans med Khonsari ransomware rapporterade Bitdefender också försök att distribuera Orcus fjärråtkomsttrojan, Muhstik-botnät och omvända bash-skal för framtida attacker, såväl som framgångsrika myntminersattacker. Företagets telemetri har hittat totalt 7 000 attackförsök baserat på Log4j-sårbarheten, berättade Zugec för VentureBeat.

När detta skrivs har det inte funnits något offentligt avslöjande av ett framgångsrikt ransomware-intrång som utnyttjade sårbarheten i Log4j.

Efter ransomware-attacken p√• personalprogramvaruf√∂retaget Kronos i l√∂rdags finns det f√∂r n√§rvarande “ingen indikation” p√• en koppling till Log4j-s√•rbarheten, enligt en f√∂retagsuppdatering idag, som en talesman bekr√§ftade representerar den senaste informationen. F√∂retaget sa att det unders√∂ker den m√∂jligheten.

Både Kronos och delstatens lagstiftande församling i Virginia, som såg en ransomware-attack i fredags, är kända för att använda eller ha licenser för användning av Java, enligt en Ars Technica-rapport. En talesperson för delstatens lagstiftande församling i Virginia kunde inte omedelbart nås på tisdagen.

VentureBeats uppdrag ska vara ett digitalt stadstorg för tekniska beslutsfattare att få kunskap om transformativ företagsteknik och handla. Läs mer om medlemskap.