Casa > Ciber Noticias > CVE-2021-44228 utilizado por atacantes para eliminar Khonsari ransomware
CYBER NOTICIAS

CVE-2021-44228 utilizado por atacantes para eliminar Khonsari Ransomware

CVE-2021-44228 utilizado por atacantes para eliminar Khonsari Ransomware
El concierto es una nueva familia de ransomware actualmente intenta aprovechar la vulnerabilidad crítica de Apache Log4j, también conocido como CVE-2021-44228, Log4Shell y Logjam.

Vulnerabilidad de Apache Log4j: CVE-2021-44228

De acuerdo con la National Vulnerability Database, “Apache Log4j2 <=2.14.1 JNDI features used in configuration, log messages, and parameters do not protect against attacker-controlled LDAP and other JNDI related endpoints.” In other words, threat actors who can control log message parameters will also be able to execute arbitrary code loaded from LDAP server. The only condition is that message lookup substitution is enabled.


Familia Novel Concert Ransomware

Los investigadores de Bitdefender observaron recientemente que los atacantes están explotando la vulnerabilidad de Log4j para entregar cargas útiles maliciosas., incluido el ransomware Khonsari, previamente desconocido, dirigido a servidores Windows.

En otra descripción técnica de Khonsari, Los investigadores de Cado dicen que "el exploit carga el código de bytes de Java en hxxp://3.145.115[.]94/Clase principal vía JNDI, que luego descarga el ransomware Kohnsari de hxxp://3.145.115[.]94/zambo / groenhuyzen.exe."

Los investigadores pudieron recuperar una muestra del ransomware para realizar un análisis estático y forense..

El ransomware está codificado en C # y usa el marco .NET. Recupera el código fuente a través de la descompilación de una manera sencilla, usando herramientas como ILspy. Una vez descompilado, el código fuente revela cuáles son las capacidades del malware:

Khonsari es, francamente, un poco aburrida. Pesa solo 12 KB y contiene solo la funcionalidad más básica necesaria para realizar su objetivo de ransomware. Sin embargo, su tamaño y simplicidad también son una fortaleza: en el momento en que ejecutamos el malware de forma dinámica, los sistemas integrados en Antivirus no lo detectaban., Los investigadores de Cado dijeron.

Una vez que se ejecuta, el ransomware enumera todas las unidades montadas, aparte de C:\, iniciar el cifrado de todo el contenido que se encuentra en las unidades. Parece que el cifrado de C:\ Drive está más orientado: Khonsari se dirige a los directores de usuario, incluidos los documentos, Videos, Fotos, Descargas y escritorio. Cada archivo está encriptado mediante el algoritmo AES-128 CBC. Una vez que el cifrado está terminado, la extensión .khonsari se adjunta a los datos cifrados.

Consulado de ransomware mediante CVE-2021-44228

El ransomware está explotando actualmente el error crítico de Apache.. Sin embargo, Los ataques basados ​​en esta vulnerabilidad también están descargando una carga útil maliciosa adicional: el troyano de acceso remoto Orcus..

Los Estados Unidos. La Agencia de Ciberseguridad y Seguridad de la Infraestructura fue la que hizo la divulgación de la explotación activa de la falla..

“CISA y sus socios, a través de la Colaboración Conjunta de Defensa Cibernética, están rastreando y respondiendo a activos, explotación generalizada de una vulnerabilidad crítica de ejecución remota de código (CVE-2021-44228) que afectan las versiones de la biblioteca de software Apache Log4j 2.0-beta9 a 2.14.1. Log4j se utiliza ampliamente en una variedad de servicios empresariales y para el consumidor, sitios web, y aplicaciones, así como en productos de tecnología operativa, para registrar información de seguridad y rendimiento.. Un actor remoto no autenticado podría aprovechar esta vulnerabilidad para tomar el control de un sistema afectado,”La alerta CISA decía.

Parchear CVE-2021-44228 es muy recomendable. CISA ha creado el Guía de vulnerabilidad de Apache Log4j para ayudar a abordar el problema crítico.




En julio 2021, La banda de ransomware REvil llevó a cabo un ataque de ransomware en la cadena de suministro sin precedentes contra los clientes del producto VSA de Kaseya.. Los ataques se basaron en explotando los días cero CVE-2021-30116.

Milena Dimitrova

Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim

Más Mensajes

Sígueme:
Gorjeo

Dejar un comentario

Su dirección de correo electrónico no será publicada. Los campos necesarios están marcados *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our política de privacidad.
Estoy de acuerdo