Concert is een nieuwe ransomware-familie probeert momenteel misbruik te maken van de kritieke kwetsbaarheid van Apache Log4j, ook bekend als CVE-2021-44228, Log4Shell en Logjam.
Apache Log4j-kwetsbaarheid: CVE-2021-44228
Volgens de National Vulnerability Database, "Apache Log4j2" <=2.14.1 JNDI features used in configuration, log messages, and parameters do not protect against attacker-controlled LDAP and other JNDI related endpoints.” In other words, threat actors who can control log message parameters will also be able to execute arbitrary code loaded from LDAP server. The only condition is that message lookup substitution is enabled.
Roman Concert Ransomware Familie
Bitdefender-onderzoekers hebben onlangs vastgesteld dat aanvallers de Log4j-kwetsbaarheid misbruiken om kwaadaardige payloads te leveren, inclusief de voorheen onbekende Khonsari ransomware gericht op Windows-servers.
In een ander technisch overzicht van Khonsari, Cado-onderzoekers zeggen dat "de exploit de Java-bytecode laadt op" hxxp://3.145.115[.]94/Hoofdklasse via JNDI, die vervolgens de Kohnsari-ransomware downloadt van hxxp://3.145.115[.]94/zambo/groenhuyzen.exe."
De onderzoekers waren in staat om een monster van de ransomware op te halen om een statische en een forensische analyse uit te voeren.
De ransomware is gecodeerd in C# en gebruikt het .NET framework. Het haalt de broncode op een eenvoudige manier op via decompilatie, met behulp van tools zoals ILspy. Eenmaal gedecompileerd, de broncode onthult wat de mogelijkheden van de malware zijn:
Khonsari is – eerlijk gezegd – een beetje saai. Het weegt slechts 12 KB en bevat alleen de meest elementaire functionaliteit die nodig is om zijn ransomware-doelstelling uit te voeren. De grootte en eenvoud zijn echter ook een sterk punt - op het moment dat we de malware dynamisch uitvoerden, werd deze niet gedetecteerd door de systemen die in Antivirus waren ingebouwd, Cado-onderzoekers zeiden:.
Als het eenmaal is uitgevoerd, de ransomware somt alle gekoppelde schijven op, behalve C:\, het initiëren van codering van alle inhoud die op de schijven wordt gevonden. Het lijkt erop dat encryptie van de C:\ drive is meer gericht - Khonsari richt zich op gebruikersregisseurs, inclusief documenten, Videos, Foto's, Downloads en bureaublad. Elk bestand wordt versleuteld via het AES-128 CBC-algoritme. Zodra encryptie is voltooid, de .khonsari-extensie wordt toegevoegd aan versleutelde gegevens.
Consulaat Ransomware met behulp van CVE-2021-44228
De ransomware maakt momenteel misbruik van de kritieke Apache-bug. Echter, de aanvallen op basis van dit beveiligingslek downloaden ook een extra kwaadaardige payload - de Orcus-trojan voor externe toegang.
de U.S.. Cybersecurity and Infrastructure Security Agency was degene die de actieve exploitatie van de fout openbaar maakte.
“CISA en zijn partners, via het Joint Cyber Defense Collaborative, volgen en reageren op actief, wijdverbreide exploitatie van een kritieke kwetsbaarheid voor het uitvoeren van externe code (CVE-2021-44228) die van invloed zijn op Apache Log4j-softwarebibliotheekversies 2.0-beta9 naar 2.14.1. Log4j wordt zeer breed gebruikt in een verscheidenheid aan consumenten- en bedrijfsservices, websites, en toepassingen—evenals in operationele technologieproducten—om beveiligings- en prestatie-informatie vast te leggen. Een niet-geverifieerde externe actor kan misbruik maken van dit beveiligingslek om de controle over een getroffen systeem over te nemen,” de CISA-waarschuwing zei.
Het patchen van CVE-2021-44228 is zeer aan te raden. CISA heeft de Apache Log4j Kwetsbaarheidsrichtlijnen om te helpen bij het aanpakken van het kritieke probleem.
In juli 2021, de REvil ransomware-bende voerde een ongekende supply chain ransomware-aanval uit op klanten van Kaseya's VSAproduct. De aanvallen waren gebaseerd op het exploiteren van de CVE-2021-30116 zero-days.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: