Zuhause > Cyber ​​Aktuelles > CVE-2021-44228 Wird von Angreifern verwendet, um Khonsari Ransomware zu löschen
CYBER NEWS

CVE-2021-44228 Wird von Angreifern verwendet, um Khonsari Ransomware zu löschen

CVE-2021-44228 Wird von Angreifern verwendet, um Khonsari Ransomware zu löschen
Konzert ist eine neuartige Ransomware-Familie versucht derzeit, die kritische Apache Log4j-Sicherheitslücke auszunutzen, auch bekannt als CVE-2021-44228, Log4Shell und Logjam.

Apache Log4j-Sicherheitslücke: CVE-2021-44228

Entsprechend der National Vulnerability Database, "Apache Log4j2 <=2.14.1 JNDI features used in configuration, log messages, and parameters do not protect against attacker-controlled LDAP and other JNDI related endpoints.” In other words, threat actors who can control log message parameters will also be able to execute arbitrary code loaded from LDAP server. The only condition is that message lookup substitution is enabled.


Novel Concert Ransomware-Familie

Bitdefender-Forscher haben kürzlich beobachtet, dass Angreifer die Log4j-Sicherheitslücke ausnutzen, um bösartige Nutzlasten zu übermitteln, einschließlich der bisher unbekannten Khonsari-Ransomware, die auf Windows-Server abzielt.

In einem anderen technischen Überblick über Khonsari, Cado-Forscher sagen, dass „der Exploit den Java-Bytecode bei“ lädt hxxp://3.145.115[.]94/Hauptklasse über JNDI, die dann die Kohnsari-Ransomware herunterlädt von hxxp://3.145.115[.]94/zambo/groenhuyzen.exe."

Die Forscher waren in der Lage, eine Probe der Ransomware abzurufen, um eine statische und eine forensische Analyse durchzuführen.

Die Ransomware ist in C# codiert und verwendet das .NET Framework. Es ruft den Quellcode durch Dekompilierung auf einfache Weise ab, mit Tools wie ILspy. Einmal dekompiliert, der Quellcode verrät die Fähigkeiten der Malware:

Khonsari ist – ehrlich gesagt – ein bisschen langweilig. Es wiegt nur 12 KB und enthält nur die grundlegendsten Funktionen, die zur Erfüllung des Ransomware-Ziels erforderlich sind. Ihre Größe und Einfachheit sind jedoch auch eine Stärke – als wir die Malware dynamisch ausführten, wurde sie von den in Antivirus integrierten Systemen nicht erkannt, Cado-Forscher sagten.

Sobald sie ausgeführt, die Ransomware zählt alle gemounteten Laufwerke auf, abgesehen von C:\, Initiieren der Verschlüsselung aller auf den Laufwerken gefundenen Inhalte. Es scheint, dass die Verschlüsselung des C:\ Drive ist zielgerichteter – Khonsari zielt auf Benutzer-Directors, inklusive Dokumente, Videos, Bilder, Downloads und Desktop. Jede Datei wird mit dem AES-128 CBC-Algorithmus verschlüsselt. Sobald die Verschlüsselung abgeschlossen, die Erweiterung .khonsari wird an verschlüsselte Daten angehängt.

Konsulat Ransomware mit CVE-2021-44228

Die Ransomware nutzt derzeit den kritischen Apache-Bug aus. Jedoch, Die auf dieser Schwachstelle basierenden Angriffe laden auch eine zusätzliche bösartige Nutzlast herunter – den Remote-Access-Trojaner Orcus.

Die US-. Die Cybersecurity and Infrastructure Security Agency war diejenige, die die aktive Ausnutzung des Fehlers offenlegte.

„KAG und seine Partner, durch die Joint Cyber ​​Defense Collaborative, verfolgen und reagieren auf aktive, weit verbreitete Ausnutzung einer kritischen Sicherheitslücke bei der Remotecodeausführung (CVE-2021-44228) Auswirkungen auf die Apache Log4j-Softwarebibliothek Versionen 2.0-beta9 bis 2.14.1. Log4j wird sehr häufig in einer Vielzahl von Verbraucher- und Unternehmensdiensten verwendet, Webseiten, und Anwendungen – sowie in Betriebstechnologieprodukten – zum Protokollieren von Sicherheits- und Leistungsinformationen. Ein nicht authentifizierter Remote-Akteur könnte diese Sicherheitsanfälligkeit ausnutzen, um die Kontrolle über ein betroffenes System zu übernehmen,“, heißt es in der CISA-Warnung.

Das Patchen von CVE-2021-44228 ist sehr beratend. CISA hat die Leitfaden zu Apache Log4j-Sicherheitslücken um bei der Lösung des kritischen Problems zu helfen.




Im Juli 2021, die REvil-Ransomware-Gang führte einen beispiellosen Ransomware-Angriff auf die Lieferkette gegen Kunden des VSA-Produkts von Kaseya durch. Die Angriffe basierten auf Ausnutzung der Zero-Days CVE-2021-30116.

Milena Dimitrova

Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim

Mehr Beiträge

Folge mir:
Zwitschern

Schreibe einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our Datenschutz-Bestimmungen.
Genau