Log4j utnyttjar tyder pÄ att angripare rustar sig för ransomware

Log4j-felet fÄr stor uppmÀrksamhet frÄn det


Forskare vid stora cybersÀkerhetsföretag sÀger att de ser tecken pÄ att angripare utnyttjar Log4Shell, den utbredda Apache Log4j-sÄrbarheten, pÄ sÀtt som kan lÀgga grunden för en ransomware-attack.

Microsofts hotintelligensteam rapporterade pÄ lördagen att de har sett Log4Shell utnyttjas för att installera Cobalt Strike, ett populÀrt verktyg med cyberkriminella som ofta ses som en föregÄngare till att distribuera ransomware.

Ciscos team för hotintelligens, Talos, har inte direkt sett installationen av Cobalt Strike hittills – men “vi har sett en ökning av skadliga Cobalt Strike-servrar online som kan stödja infrastruktur”, sĂ€ger Matt Olney, chef för hotintelligence och förbud hos Cisco Talos, i ett e-postmeddelande till VentureBeat.

Och forskare pĂ„ Sophos har sett “tecken pĂ„ angripare som försöker utnyttja sĂ„rbarheten för att installera fjĂ€rrĂ„tkomstverktyg i offernĂ€tverk, möjligen Cobalt Strike, ett nyckelverktyg i mĂ„nga ransomware-attacker”, sĂ€ger Sean Gallagher, senior hotforskare pĂ„ Sophos, i en uttalande cirkulerat till media.

NÀr detta skrivs Àr inga ransomware-grupper offentligt kÀnda för att ha utnyttjat sÄrbarheten i Log4j för att distribuera en ransomware-attack.

Utbredd sÄrbarhet

Log4Shell-sÄrbarheten avslöjades sent pÄ torsdagen och pÄverkar ett brett spektrum av företagsprogramvara och molntjÀnster. SÄrbarheten pÄverkar alla program som anvÀnder Apache Log4j, ett loggningsbibliotek med öppen kÀllkod, och mÄnga applikationer och tjÀnster skrivna i Java Àr potentiellt sÄrbara.

Tillsammans med att vara utbredd, anses bristen ocksÄ vara mycket farlig eftersom den ses som ganska lÀtt att utnyttja. SÄrbarheten för fjÀrrkörning av kod (RCE) kan i slutÀndan göra det möjligt för en angripare att fjÀrrÄtkomst till och kontrollera enheter.

I sitt blogginlĂ€gg som publicerades pĂ„ lördagen sa Microsoft att “vid tidpunkten för publiceringen har den stora majoriteten av den observerade aktiviteten varit skanning, men exploatering och aktiviteter efter exploatering har ocksĂ„ observerats.”

Speciellt, “Microsoft har observerat aktiviteter inklusive installation av myntgruvarbetare, Cobalt Strike för att möjliggöra stöld av autentiseringsuppgifter och sidoförflyttning och exfiltrering av data frĂ„n komprometterade system,” sa företaget.

Microsoft lÀmnade inga ytterligare detaljer om attackerna. VentureBeat har kontaktat Microsoft för all uppdaterad information.

Tillsammans med att tillhandahÄlla nÄgra av de största plattformarna och molntjÀnsterna som anvÀnds av företag, Àr Microsoft en stor leverantör av cybersÀkerhet i sin egen rÀtt med 650 000 sÀkerhetskunder.

Microsofts rapport om att ha sett Cobalt Strike-installation Ă€r anmĂ€rkningsvĂ€rd eftersom verktyget “vanligtvis missbrukas av riktad ransomware”, sĂ€ger Chris Doman, medgrundare och teknikchef pĂ„ cyberleverantören Cado Security, i ett e-postmeddelande till VentureBeat.

PopulÀrt bland cyberbrottslingar

Cobalt Strike var ursprungligen ett legitimt verktyg för penetrationstestning, men en lÀckt version av plattformens kÀllkod uppges ha dök upp pÄ GitHub i slutet av 2020, och forskare sÀger att verktyget i allt högre grad har utnyttjats av cyberkriminella.

AnvĂ€ndning av Cobalt Strike av hotaktörer ökade med 161 % Ă„r 2020, Ă„r frĂ„n Ă„r, enligt en fĂ€rsk rapport frĂ„n Proofpoint. Och verktyget har “visats i Proofpoint-hotdata oftare Ă€n nĂ„gonsin” 2021, sa företaget.

MĂ„nga sĂ€kerhetsforskare – inklusive pĂ„ Cisco Talos, VMware Carbon Black och Accenture Security – har rapporterat en signifikant korrelation mellan anvĂ€ndningen av Cobalt Strike och ransomware-attacker.

Cobalt Strike-verktyget Ă€r anvĂ€ndbart bĂ„de pĂ„ grund av dess effektivitet – verktyget lanserar en “beacon” som möjliggör Ă„tgĂ€rder som fjĂ€rrövervakning och sidorörelser – sĂ„vĂ€l som “anonymiteten” det erbjuder pĂ„ grund av dess popularitet, sa forskare frĂ„n VMware och Accenture i en nyligen inlĂ€gg om hotforskning.

“NĂ€r anvĂ€ndningen av Cobalt Strike ökar bland ransomware-operatörer, har Accenture Security och Carbon Black i sin tur observerat att angripare anvĂ€nder Cobalt Strike Beacon-funktioner, sĂ„som namngivna pipes over Server Message Block (SMB) och WinRM för att flytta i sidled i riktade nĂ€tverk, ” sa forskarna i inlĂ€gget.

Ransomware-hot

Utplaceringen av skadlig programvara som drar fördel av Log4Shell har redan börjat, och forskare rapporterar att de har observerat anvÀndningen av Mirai- och Muhstik-botnÀt för att distribuera DDoS-attacker (Distributed Denial of Service) samt distribution av Kinsing malware för kryptomining.

Det kan bara vara en “frĂ„ga om dagar” innan ransomware kan distribueras i samband med sĂ„rbarheten i Log4j, sa David Warshavski, vice vd för företagssĂ€kerhet hos cybersĂ€kerhetsleverantören Sygnia, i ett mejl till VentureBeat.

PĂ„ grund av den breda rĂ€ckvidden av sĂ„rbarheten i Log4j, “har ribban för aktörer med ransomware-hot att bryta mot företagsnĂ€tverk och etablera ett första fotfĂ€ste sĂ€nkts avsevĂ€rt,” sa Warshavski.

SÄrbarheten kommer med att majoriteten av företagen redan rapporterar att de har haft förstahandserfarenhet av ransomware under det senaste Äret. En nyligen genomförd undersökning frÄn CrowdStrike fann att 66 % av organisationerna hade upplevt en ransomware-attack under de senaste 12 mÄnaderna, upp frÄn 56 % 2020. Och den genomsnittliga betalningen av ransomware har ökat med cirka 63 % 2021 och nÄdde 1,79 miljoner dollar, enligt rapporten .

NĂ€r det gĂ€ller Log4Shell, har Huntress hittills inte sett nĂ„gra allvarliga attacker mot vĂ„ra partners och deras kunder, sĂ€ger Roger Koehler, vice vd för hot ops pĂ„ företaget, i ett mejl. “Det Ă€r lite tidigt att höra om nĂ„got allvarligt just nu,” sa Koehler.

Men “det hĂ€r Ă€r bara början, och vi kommer att se detta under en lĂ„ng tid”, sa Koehler.

Exploateringen började tidigare

Forskare har ocksÄ sagt att utnyttjandet av sÄrbarheten kan ha börjat sÄ lÄngt tillbaka som 1 december eller 2 december.

Cisco Talos sa att de har upptĂ€ckt angriparaktivitet relaterad till Log4Shell-sĂ„rbarheten frĂ„n och med den 2 december. “Det rekommenderas att organisationer utökar sin jakt pĂ„ skannings- och exploateringsaktivitet till detta datum”, sa Talos-forskare.

Samtidigt sa Matthew Prince, VD för Cloudflare, att hans företag har hittat bevis pĂ„ en Log4j-exploatering som började den 1 december. “Men, [we] ser inte bevis pĂ„ massexploatering förrĂ€n efter offentliggörande” den 9 december, sa Prince pĂ„ Twitter.

VentureBeats uppdrag ska vara ett digitalt stadstorg för tekniska beslutsfattare att fÄ kunskap om transformativ företagsteknik och handla. LÀs mer om medlemskap.