Le concert est une nouvelle famille de ransomwares tente actuellement d'exploiter la vulnérabilité critique Apache Log4j, également connu sous le nom de CVE-2021-44228, Log4Shell et Logjam.
Vulnérabilité Apache Log4j: CVE-2021-44228
Selon le Base de données nationale de la vulnérabilité, "Apache Log4j2 <=2.14.1 JNDI features used in configuration, log messages, and parameters do not protect against attacker-controlled LDAP and other JNDI related endpoints.” In other words, threat actors who can control log message parameters will also be able to execute arbitrary code loaded from LDAP server. The only condition is that message lookup substitution is enabled.
Roman Concert Ransomware Famille
Des chercheurs de Bitdefender ont récemment observé que des attaquants exploitaient la vulnérabilité Log4j pour fournir des charges utiles malveillantes, y compris le ransomware Khonsari auparavant inconnu ciblant les serveurs Windows.
Dans un autre aperçu technique de Khonsari, Les chercheurs de Cado disent que "l'exploit charge le bytecode Java à hxxp://3.145.115[.]94/classe.principale via JNDI, qui télécharge ensuite le ransomware Kohnsari à partir de hxxp://3.145.115[.]94/zambo/groenhuyzen.exe."
Les chercheurs ont pu récupérer un échantillon du ransomware pour effectuer une analyse statique et médico-légale.
Le ransomware est codé en C# et utilise le framework .NET. Il récupère le code source via une décompilation de manière simple, en utilisant des outils tels que ILspy. Une fois décompilé, le code source révèle les capacités du malware:
Khonsari est – franchement – un peu ennuyeux. Il ne pèse que 12 Ko et ne contient que les fonctionnalités les plus élémentaires requises pour atteindre son objectif de ransomware. Cependant, sa taille et sa simplicité sont également une force - au moment où nous avons exécuté le malware de manière dynamique, il n'a pas été détecté par les systèmes intégrés à Antivirus., Les chercheurs de Cado ont déclaré.
Une fois qu'il est exécuté, le ransomware énumère tous les lecteurs montés, à part C:\, lancer le cryptage de tous les contenus trouvés sur les disques. Il semble que le cryptage du C:\ le drive est plus ciblé – Khonsari cible les directeurs utilisateurs, y compris les documents, Vidéos, Photos, Téléchargements et bureau. Chaque fichier est crypté via l'algorithme AES-128 CBC. Une fois que le cryptage est terminé, l'extension .khonsari est ajoutée aux données cryptées.
Consulat Ransomware utilisant CVE-2021-44228
Le ransomware exploite actuellement le bogue critique d'Apache. Cependant, les attaques basées sur cette vulnérabilité téléchargent également une charge utile malveillante supplémentaire - le cheval de Troie d'accès à distance Orcus.
Les Etats Unis. La Cybersecurity and Infrastructure Security Agency a été celle qui a divulgué l'exploitation active de la faille.
« CISA et ses partenaires, par le biais du Joint Cyber Defense Collaborative, suivent et répondent aux actifs, exploitation généralisée d'une vulnérabilité critique d'exécution de code à distance (CVE-2021-44228) affectant les versions 2.0-beta9 de la bibliothèque logicielle Apache Log4j à 2.14.1. Log4j est très largement utilisé dans une variété de services aux consommateurs et aux entreprises, sites, et applications, ainsi que dans les produits technologiques opérationnels, pour consigner les informations de sécurité et de performance. Un acteur distant non authentifié pourrait exploiter cette vulnérabilité pour prendre le contrôle d'un système affecté,” l'alerte CISA a déclaré.
Le correctif CVE-2021-44228 est fortement conseillé. CISA a créé le Guide de vulnérabilité Apache Log4j pour aider à résoudre le problème critique.
En juillet 2021, le gang de ransomware REvil a mené une attaque de ransomware sans précédent sur la chaîne d'approvisionnement contre les clients du produit VSA de Kaseya. Les attaques étaient basées sur exploiter les zero-days CVE-2021-30116.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: