Microsoft: Ransomware “Ă„tkomstmĂ€klare” utnyttjar nu sĂ„rbarheten i Log4j

Microsoft: Ransomware


Microsoft sa att de har observerat flera cyberkriminella grupper försöker etablera nÀtverksÄtkomst genom att utnyttja sÄrbarheten i Apache Log4j, med det förvÀntade mÄlet att senare sÀlja den Ätkomsten till ransomware-operatörer.

Ankomsten av dessa “Ă„tkomstmĂ€klare”, som har kopplats till ransomware affiliates, tyder pĂ„ att en “ökning av mĂ€nskligt driven ransomware” kan följa mot bĂ„de Windows- och Linux-system, sa företaget i en uppdatering till ett blogginlĂ€gg om kritisk Log4j-sĂ„rbarhet, kĂ€nd som Log4Shell.

Nationalstatlig verksamhet

I samma inlĂ€gg sa Microsoft ocksĂ„ att de har observerat aktivitet frĂ„n nationalstatsgrupper – knutna till lĂ€nder inklusive Kina, Iran, Nordkorea och Turkiet – som försöker utnyttja log4j-sĂ„rbarheten. I ett fall har en iransk grupp kĂ€nd som Phosphorus, som tidigare har distribuerat ransomware, setts “skaffa och göra Ă€ndringar av Log4j-exploatet”, sa Microsoft. “Vi bedömer att PHOSPHORUS har operationaliserat dessa modifieringar.”

Utvecklingen har följt kort efter att de första fallen av ransomware-nyttolaster som utnyttjar Log4Shell avslöjades. SÀkerhetsforskare pÄ Bitdefender observerade ett försök att distribuera en ny stam av ransomware, Khonsari, med hjÀlp av Log4Shell-sÄrbarheten som avslöjades offentligt i torsdags.

Forskare har ocksÄ berÀttat för VentureBeat att de har observerat angripare som potentiellt lÀgger grunden för att lansera ransomware pÄ en rad olika sÀtt, som att distribuera privilegieskaleringsverktyg och föra in skadliga Cobalt Strike-servrar online, under de senaste dagarna. Cobalt Strike Àr ett populÀrt verktyg för att möjliggöra fjÀrrspaning och sidorörelse i ransomware-attacker.

Microsoft sjÀlv hade pÄ lördagen rapporterat att de sett installationen av Cobalt Strike genom utnyttjandet av log4j-sÄrbarheten.

“Ransomware-as-a-service”

Nu sa Microsoft att de har observerat aktiviteter av cyberbrottslingar som syftar till att etablera fotfĂ€ste i ett nĂ€tverk med Log4Shell, med förvĂ€ntningen att sĂ€lja den Ă„tkomsten till en “ransomware-as-a-service”-operatör.

I uppdateringen av blogginlĂ€gget sa Microsofts hotforskningsteam att de “har bekrĂ€ftat att flera spĂ„rade aktivitetsgrupper som fungerar som Ă„tkomstmĂ€klare har börjat anvĂ€nda sĂ„rbarheten för att fĂ„ initial Ă„tkomst till mĂ„lnĂ€tverk.”

“Dessa Ă„tkomstmĂ€klare sĂ€ljer sedan Ă„tkomst till dessa nĂ€tverk till ransomware-as-a-service affiliates”, sa Microsofts forskare i inlĂ€gget.

Forskarna noterade att de har “observerat att dessa grupper försöker utnyttja bĂ„de Linux- och Windows-system, vilket kan leda till en ökning av mĂ€nskligt styrda ransomware-effekter pĂ„ bĂ„da dessa operativsystemplattformar.”

Ransomware-as-a-service-operatörer hyr ut ransomware-varianter till andra angripare, vilket besparar dem anstrÀngningen att skapa sina egna varianter.

Ett vÀxande hot

Enligt en tidigare rapport frĂ„n Digital Shadows har “initial access brokers” haft en “vĂ€xande roll” i det cyberkriminella omrĂ„det.

“IstĂ€llet för att infiltrera en organisation djupt, fungerar den hĂ€r typen av hotaktör som en “mellanhand” genom att krĂ€nka sĂ„ mĂ„nga företag som möjligt och fortsĂ€tter med att sĂ€lja tillgĂ„ng till högstbjudande – ofta till ransomware-grupper, sĂ€ger Digital Shadows.

Sean Gallagher, en senior hotforskare vid Sophos, sa till VentureBeat pĂ„ tisdagen att han har förvĂ€ntat sig att se riktade anstrĂ€ngningar för att plantera bakdörrar i nĂ€tverk, inklusive av accessmĂ€klare som sedan skulle sĂ€lja bakdörren till andra brottslingar. “Och de andra brottslingarna kommer oundvikligen att inkludera gĂ€ng med ransomware,” sa Gallagher.

NÀr detta skrivs har det inte funnits nÄgot offentligt avslöjande av ett framgÄngsrikt ransomware-intrÄng som utnyttjade sÄrbarheten i Log4j.

Utbredd sÄrbarhet

Sammantaget sa forskare att de förvÀntar sig att ransomware-attacker kommer frÄn sÄrbarheten i Log4j, eftersom bristen Àr bÄde utbredd och anses vara trivial att utnyttja. MÄnga applikationer och tjÀnster skrivna i Java Àr potentiellt sÄrbara för Log4Shell, vilket kan möjliggöra fjÀrrexekvering av kod av oautentiserade anvÀndare. Forskare vid cybersÀkerhetsjÀtten Check Point sa att de har observerat försök till utnyttjande av Log4j-sÄrbarheten pÄ mer Àn 44 % av företagsnÀtverk vÀrlden över.

“Vi har inte nödvĂ€ndigtvis sett direkt utplacering av ransomware, men det Ă€r bara en tidsfrĂ„ga”, sa Nick Biasini, chef för uppsökande verksamhet pĂ„ Cisco Talos, i ett mejl pĂ„ tisdagen. “Det hĂ€r Ă€r en sĂ„rbarhet med hög strĂ€nghet som kan hittas i otaliga produkter. Den tid som krĂ€vs för att allt ska lappas enbart kommer att tillĂ„ta olika hotgrupper att utnyttja detta i en mĂ€ngd olika attacker, inklusive ransomware.”

SÄrbarheten kommer med att majoriteten av företagen redan rapporterar att de har haft förstahandserfarenhet av ransomware under det senaste Äret. En nyligen genomförd undersökning frÄn CrowdStrike fann att 66 % av organisationerna hade upplevt en ransomware-attack under de senaste 12 mÄnaderna, upp frÄn 56 % 2020. Och den genomsnittliga betalningen av ransomware har ökat med cirka 63 % 2021 och nÄdde 1,79 miljoner dollar, enligt rapporten .

VentureBeats uppdrag ska vara ett digitalt stadstorg för tekniska beslutsfattare att fÄ kunskap om transformativ företagsteknik och handla. LÀs mer om medlemskap.