Casa > cibernético Notícias > CVE-2021-44228 usado por invasores para soltar Khonsari Ransomware
CYBER NEWS

CVE-2021-44228 usado por invasores para derrubar Khonsari Ransomware

por   |  Última atualização:  |  0 Comentários  

CVE-2021-44228 usado por invasores para derrubar Khonsari Ransomware
Concerto é uma nova família de ransomware atualmente tentando explorar a vulnerabilidade crítica do Apache Log4j, também conhecido como CVE-2021-44228, Log4Shell e Logjam.

Vulnerabilidade Apache Log4j: CVE-2021-44228

De acordo com National Vulnerability Database, "Apache Log4j2 <=2.14.1 JNDI features used in configuration, log messages, and parameters do not protect against attacker-controlled LDAP and other JNDI related endpoints.” In other words, threat actors who can control log message parameters will also be able to execute arbitrary code loaded from LDAP server. The only condition is that message lookup substitution is enabled.


Família Novel Concert Ransomware

Pesquisadores do Bitdefender observaram recentemente que os invasores estão explorando a vulnerabilidade Log4j para entregar cargas maliciosas, incluindo o anteriormente desconhecido ransomware Khonsari voltado para servidores Windows.

Em outra visão geral técnica de Khonsari, Pesquisadores do Cado dizem que “o exploit carrega o bytecode Java em hxxp://3.145.115[.]94/Main.class via JNDI, que então baixa o ransomware Kohnsari de hxxp://3.145.115[.]94/zambo / groenhuyzen.exe.”

Os pesquisadores foram capazes de recuperar uma amostra do ransomware para realizar uma análise estática e forense.

O ransomware é codificado em C # e usa o framework .NET. Ele recupera o código-fonte por meio de descompilação de maneira direta, usando ferramentas como ILspy. Uma vez descompilado, o código-fonte revela quais são os recursos do malware:

Khonsari é - francamente - um pouco chato. Pesa apenas 12 KB e contém apenas a funcionalidade mais básica necessária para realizar seu objetivo de ransomware. Seu tamanho e simplicidade também são um ponto forte - no momento em que executamos o malware dinamicamente, ele não foi detectado pelos sistemas integrados ao antivírus, Pesquisadores do Cado disseram.

Uma vez executado, o ransomware enumera todas as unidades montadas, além de C:\, iniciar a criptografia de todos os conteúdos encontrados nas unidades. Parece que a criptografia do C:\ drive é mais direcionado - Khonsari visa diretores de usuários, incluindo documentos, vídeos, As fotos, Downloads e desktop. Cada arquivo é criptografado por meio do algoritmo AES-128 CBC. Assim que a criptografia for concluída, a extensão .khonsari é anexada aos dados criptografados.

Consulado Ransomware usando CVE-2021-44228

O ransomware está explorando o bug crítico do Apache. Contudo, os ataques baseados nesta vulnerabilidade também estão baixando uma carga adicional maliciosa - o trojan de acesso remoto Orcus.

Os EUA. Agência de Segurança Cibernética e de Infraestrutura foi quem fez a divulgação da exploração ativa da falha.

“CISA e seus parceiros, por meio do Joint Cyber ​​Defense Collaborative, estão rastreando e respondendo ao ativo, exploração generalizada de uma vulnerabilidade crítica de execução remota de código (CVE-2021-44228) afetando as versões 2.0-beta9 da biblioteca de software Apache Log4j para 2.14.1. Log4j é amplamente usado em uma variedade de serviços corporativos e de consumo, sites, e aplicativos - bem como em produtos de tecnologia operacional - para registrar informações de segurança e desempenho. Um ator remoto não autenticado pode explorar esta vulnerabilidade para assumir o controle de um sistema afetado,”O alerta da CISA disse.

Patching CVE-2021-44228 é altamente consultivo. CISA criou o Diretrizes de vulnerabilidade do Apache Log4j para ajudar a resolver o problema crítico.




Em julho 2021, a gangue de ransomware REvil realizou um ataque de ransomware na cadeia de suprimentos sem precedentes contra clientes do produto VSA da Kaseya. Os ataques foram baseados em explorando o CVE-2021-30116 dia zero.

Milena Dimitrova

Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim

mais Posts

Me siga:
Twitter

Postagens relacionadas:
  1. Remover Consensus Ransomware (.Concerto de arquivo) O que é Khonsari? Khonsari is a new ransomware family recently...
  2. As vulnerabilidades mais exploradas em 2021 Incluir CVE-2021-44228, CVE-2021-26084 Quais foram as vulnerabilidades de segurança mais exploradas rotineiramente em 2021?...
  3. Adobe Patches 112 Vulnerabilidades no Últimas Patch Package (CVE-2018-5007) A Adobe lançou o pacote de patch mais recente que aborda um...
  4. 35,000 Pacotes Java afetados pela exploração Log4j, Google diz 35,000 Java Packages Impacted by the Log4j Vulnerabilities Google says...
  5. Vulnerabilidade séria de desserialização de Java descoberta em 70 Bibliotecas No início de 2015, os pesquisadores de segurança Gabriel Lawrence...
  6. NACIONAL DE SEGURANÇA MESA remoção de vírus – Restaurar arquivos .exe This article will aid you to remove NATIONAL SECURITY BUREAU...
  7. Cenário de ameaças do Linux 2021: Malware e vulnerabilidades mais prevalentes Quais são as ameaças que põem em perigo os sistemas Linux? Pesquisadores de segurança da ...
  8. Julho 2021 patch Tuesday: CVE-2021-34448 explorado ativamente corrigido Microsoft Windows julho 2021 Patch Tuesday acaba de lançar, remendos...

Deixe um comentário

seu endereço de e-mail não será publicado. Campos obrigatórios são marcados *

Este site utiliza cookies para melhorar a experiência do usuário. Ao utilizar o nosso site você concorda com todos os cookies de acordo com o nosso Política de Privacidade.
Concordo