Microsoft bekrÀftar ny ransomware-familj distribuerad via Log4j-sÄrbarheten

Microsoft bekrÀftar ny ransomware-familj distribuerad via Log4j-sÄrbarheten


Microsoft har blivit den andra sĂ€kerhetsleverantören som rapporterar att de har observerat en ny familj av ransomware, kĂ€nd som Khonsari – som företaget sa har anvĂ€nts i attacker pĂ„ Minecraft-servrar som inte Ă€r vĂ€rd för Microsoft genom att utnyttja sĂ„rbarheten i Apache Log4j.

I en onsdagskvÀllsuppdatering av sitt blogginlÀgg om Log4j-sÄrbarheten sa Microsoft att det kan bekrÀfta fynden av cyberföretaget Bitdefender, som tidigare i veckan avslöjade existensen av den nya Khonsari ransomware-familjen. Bitdefender sa att det hade upptÀckt flera försök att distribuera en Khonsari ransomware-nyttolast, som riktar sig till Windows-system genom att dra fördel av ett fel i Log4j-loggningsbiblioteket.

SÄrbarheten, kÀnd som Log4Shell, avslöjades offentligt i torsdags och anses vara mycket farlig, eftersom bristen Àr bÄde utbredd och anses vara trivial att utnyttja.

Attacker pÄ Minecraft-servrar

I sin blogguppdatering pÄ onsdagen sa Microsoft att de har sett ransomware-attacker pÄ Minecraft-servrar som inte Àr vÀrd för företaget som involverar Khonsari ransomware-familjen.

“Microsoft kan bekrĂ€fta offentliga rapporter om att Khonsari ransomware-familjen levereras som nyttolast efter exploatering, som diskuterats av Bitdefender,” sa företaget i bloggpostuppdateringen.

“I Microsoft Defender Antivirus-data har vi observerat ett litet antal fall av detta [ransomware] lanseras frĂ„n komprometterade Minecraft-klienter som Ă€r anslutna till modifierade Minecraft-servrar som kör en sĂ„rbar version av Log4j 2 via anvĂ€ndningen av en tredjeparts Minecraft-modladdare, sĂ€ger Microsoft i inlĂ€gget.

I de fallen har hotaktören skickat ett skadligt meddelande i spelet till en sÄrbar Minecraft-server, och meddelandet utnyttjar sedan Log4Shell för att exekvera en nyttolast bÄde pÄ servern och pÄ eventuella sÄrbara klienter som Àr anslutna, sa företaget.

“Vi observerade exploatering som ledde till en skadlig Java-klassfil som Ă€r Khonsari ransomware, som sedan exekveras i sammanhanget av javaw.exe för att lösa ut enheten,” sa Microsoft.

Risk för kompromiss

SĂ„rbarheten i Log4j upptĂ€cktes ursprungligen i Java-utgĂ„van av Minecraft, enligt rapporter. Det enormt populĂ€ra spelet Ă€gs av Microsoft. Ett inlĂ€gg pĂ„ Minecraft-bloggen pĂ„ fredagen hade informerat anvĂ€ndare om Log4j-sĂ„rbarheten och uppmanade anvĂ€ndare av Java-utgĂ„van att uppdatera till den korrigerade versionen, och sa att “denna sĂ„rbarhet utgör en potentiell risk för att din dator Ă€ventyras.”

Det nya avslöjandet frĂ„n Microsoft i dag följer företagets rapport pĂ„ tisdagen att det har observerat flera cyberkriminella grupper försöker etablera nĂ€tverksĂ„tkomst genom att utnyttja Log4Shell, med mĂ„let att senare sĂ€lja den Ă„tkomsten till ransomware-operatörer. Ankomsten av dessa “Ă„tkomstmĂ€klare”, som har kopplats till ransomware-as-a-service affiliates, tyder pĂ„ att en “ökning av mĂ€nskligt driven ransomware” kan följa mot bĂ„de Windows- och Linux-system, sa företaget.

Dessutom sa Microsoft i den tidigare uppdateringen att de har observerat aktivitet frÄn nationalstatsgrupper kring Log4j-sÄrbarheten, inklusive aktiviteter av en iransk grupp som tidigare har distribuerat ransomware.

“Inte utbredd”

Tidigare i veckan rapporterade Bitdefender att de har sett flera försök att distribuera den nya Khonsari ransomware, uppkallad efter tillĂ€gget som finns i nyttolastens krypterade filer. Men “Khonsari Ă€r inte utbredd vid denna tidpunkt”, sa Martin Zugec, teknisk lösningschef pĂ„ Bitdefender, i ett e-postmeddelande till VentureBeat.

Forskare har ocksÄ berÀttat för VentureBeat att de har observerat angripare som potentiellt lÀgger grunden för att lansera ransomware pÄ en rad olika sÀtt, som att distribuera privilegieskaleringsverktyg och föra in skadliga Cobalt Strike-servrar online, under de senaste dagarna. Cobalt Strike Àr ett populÀrt verktyg för att möjliggöra fjÀrrspaning och sidorörelse i ransomware-attacker.

PÄ lördagen hade Microsoft rapporterat att de sett installationen av Cobalt Strike genom utnyttjandet av log4j-sÄrbarheten.

Sammantaget har forskare sagt att de förvÀntar sig fler ransomware-attacker till följd av sÄrbarheten i Log4j. MÄnga applikationer och tjÀnster skrivna i Java Àr potentiellt sÄrbara för Log4Shell, vilket kan möjliggöra fjÀrrexekvering av kod av oautentiserade anvÀndare. Forskare vid cybersÀkerhetsjÀtten Check Point sa att de har observerat försök till utnyttjande av Log4j-sÄrbarheten pÄ mer Àn 44 % av företagsnÀtverk vÀrlden över.

Ransomware-som-en-tjÀnst

I uppdateringen av blogginlĂ€gget pĂ„ tisdagen sa Microsofts hotforskningsteam att de “har bekrĂ€ftat att flera spĂ„rade aktivitetsgrupper som fungerar som Ă„tkomstmĂ€klare har börjat anvĂ€nda sĂ„rbarheten för att fĂ„ initial Ă„tkomst till mĂ„lnĂ€tverk.”

“Dessa Ă„tkomstmĂ€klare sĂ€ljer sedan Ă„tkomst till dessa nĂ€tverk till ransomware-as-a-service affiliates”, sa Microsofts forskare i inlĂ€gget.

Ransomware-as-a-service-operatörer hyr ut ransomware-varianter till andra angripare, vilket besparar dem anstrÀngningen att skapa sina egna varianter.

NÀr detta skrivs har det inte funnits nÄgot offentligt avslöjande av ett framgÄngsrikt ransomware-intrÄng som utnyttjade sÄrbarheten i Log4j.

Ransomware har redan drabbat ett vÀxande antal företag. En fÀrsk undersökning frÄn CrowdStrike visade att 66 % av organisationerna hade upplevt en ransomware-attack under de senaste 12 mÄnaderna, upp frÄn 56 % 2020.

Samtidigt, i postuppdateringen pĂ„ onsdagen, sa Microsoft att “Ă€ven om det Ă€r ovanligt att Minecraft installeras i företagsnĂ€tverk, har vi ocksĂ„ observerat PowerShell-baserade omvĂ€nda skal slĂ€pps till Minecraft-klientsystem via samma skadliga meddelandeteknik, vilket ger en aktör full tillgĂ„ng till ett komprometterat system, som de sedan anvĂ€nder för att köra Mimikatz för att stjĂ€la referenser.”

“Dessa tekniker Ă€r vanligtvis förknippade med företagskompromisser med avsikten att röra sig i sidled”, sa företaget. “Microsoft har inte observerat nĂ„gon efterföljande aktivitet frĂ„n den hĂ€r kampanjen för nĂ€rvarande, vilket tyder pĂ„ att angriparen kan samla Ă„tkomst för senare anvĂ€ndning.”

VentureBeats uppdrag ska vara ett digitalt stadstorg för tekniska beslutsfattare att fÄ kunskap om transformativ företagsteknik och handla. LÀs mer om medlemskap.