Il concerto è una nuova famiglia di ransomware sta attualmente tentando di sfruttare la vulnerabilità critica di Apache Log4j, noto anche come CVE-2021-44228, Log4Shell e Logjam.
Vulnerabilità Apache Log4j: CVE-2021-44228
Secondo National Vulnerability Database, "Apache Log4j2 <=2.14.1 JNDI features used in configuration, log messages, and parameters do not protect against attacker-controlled LDAP and other JNDI related endpoints.” In other words, threat actors who can control log message parameters will also be able to execute arbitrary code loaded from LDAP server. The only condition is that message lookup substitution is enabled.
Nuova famiglia ransomware da concerto
I ricercatori di Bitdefender hanno recentemente osservato che gli aggressori stanno sfruttando la vulnerabilità Log4j per fornire payload dannosi, incluso il ransomware Khonsari precedentemente sconosciuto che prende di mira i server Windows.
In un'altra panoramica tecnica di Khonsari, I ricercatori di Cado affermano che "l'exploit carica il bytecode Java a hxxp://3.145.115[.]94/Main.class via JNDI, che poi scarica il ransomware Kohnsari da hxxp://3.145.115[.]94/zambo/groenhuyzen.exe."
I ricercatori sono stati in grado di recuperare un campione del ransomware per eseguire un'analisi statica e forense.
Il ransomware è codificato in C# e utilizza il framework .NET. Recupera il codice sorgente tramite decompilazione in modo semplice, utilizzando strumenti come ILspy. Una volta decompilato, il codice sorgente rivela quali sono le capacità del malware:
Khonsari è – francamente – un po' noioso. Pesa solo 12 KB e contiene solo le funzionalità di base necessarie per eseguire il suo obiettivo ransomware. Tuttavia, anche le dimensioni e la semplicità sono un punto di forza: al momento in cui abbiamo eseguito il malware in modo dinamico non è stato rilevato dai sistemi integrati nell'antivirus, I ricercatori Cado hanno detto.
Una volta eseguito, il ransomware enumera tutte le unità montate, a parte C:\, iniziando la crittografia di tutti i contenuti trovati sulle unità. Sembra che la crittografia del C:\ drive è più mirato – Khonsari si rivolge ai direttori utenti, compresi i documenti, Video, Foto, Download e desktop. Ogni file è crittografato tramite l'algoritmo CBC AES-128. Una volta che la crittografia è finito, l'estensione .khonsari viene aggiunta ai dati crittografati.
Ransomware consolato utilizzando CVE-2021-44228
Il ransomware sta attualmente sfruttando il bug critico di Apache. Tuttavia, gli attacchi basati su questa vulnerabilità scaricano anche un payload dannoso aggiuntivo: il trojan di accesso remoto Orcus.
Gli Stati Uniti. La Cybersecurity and Infrastructure Security Agency è stata quella che ha reso noto lo sfruttamento attivo della falla.
“CISA e i suoi partner, attraverso la Joint Cyber Defense Collaborative, stanno monitorando e rispondendo a active, sfruttamento diffuso di una vulnerabilità critica di esecuzione di codice in modalità remota (CVE-2021-44228) che interessano le versioni della libreria software Apache Log4j da 2.0-beta9 a 2.14.1. Log4j è ampiamente utilizzato in una varietà di servizi consumer e aziendali, siti web, e applicazioni, nonché nei prodotti tecnologici operativi, per registrare le informazioni sulla sicurezza e sulle prestazioni. Un attore remoto non autenticato potrebbe sfruttare questa vulnerabilità per assumere il controllo di un sistema interessato,” diceva l'allerta CISA.
Patching CVE-2021-44228 è altamente consultivo. CISA ha creato il Guida alle vulnerabilità di Apache Log4j per aiutare ad affrontare il problema critico.
Nel mese di luglio 2021, la banda del ransomware REvil ha effettuato un attacco ransomware alla catena di approvvigionamento senza precedenti contro i clienti del prodotto VSA di Kaseya. Gli attacchi erano basati su sfruttando gli zero-day CVE-2021-30116.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: