Los piratas informáticos están explotando la vulnerabilidad Log4j para infectar computadoras con Khonsari ransomware

Preservación de ransomware

La empresa rumana de ciberseguridad Bitdefender reveló el lunes que se estaban haciendo intentos de apuntar a una nueva familia de ransomware llamada Khonsari en computadoras con Windows, así como a un troyano de acceso remoto llamado Orcus, utilizando la vulnerabilidad crítica Log4j recientemente descubierta.

El ataque aprovecha un error de ejecución remota de código (RCE) para descargar otra carga útil, un binario .NET, de un servidor remoto que cifra todos los archivos «.khonsari» y muestra un rescate que solicita a las víctimas realizar un pago con Bitcoin a cambio de restaurar el acceso. .a archivos.

La vulnerabilidad RCE, registrada como CVE-2021-44228, también se conoce como «Log4Shell» o «Logjam» y afecta a las versiones 2.0-beta9 a 2.14.1 de la biblioteca de software. En pocas palabras, la falla podría obligar al sistema afectado a descargar software malicioso, lo que proporcionó a los atacantes una cabeza de puente digital en servidores ubicados en redes corporativas.

Log4j es una biblioteca Java de código abierto administrada por la organización sin fines de lucro Apache Software Foundation. Esta herramienta, que recopiló alrededor de 475.000 descargas de su proyecto GitHub y ha sido ampliamente aceptada para el registro de eventos de aplicaciones, también forma parte de otros marcos, como Elasticsearch, Kafka y Flink, que se utilizan en muchos sitios web y servicios populares.

El lanzamiento se produce en un momento en el que la Agencia de Seguridad Cibernética de EE. UU. (CISA) ha emitido una advertencia contra la explotación activa y generalizada del error, que, si no se soluciona, podría proporcionar acceso sin restricciones y desencadenar una nueva ronda de ataques cibernéticos. como resultado del error. provocó que las empresas se apresuraran a encontrar y reparar máquinas vulnerables.

«Un enemigo puede explotar esta vulnerabilidad enviando una solicitud especialmente diseñada a un sistema vulnerable que hará que ese sistema ejecute un código arbitrario», dijo la agencia en instrucciones emitidas el lunes. «La solicitud permite al enemigo tomar el control total del sistema. El enemigo puede entonces robar información, ejecutar ransomware o realizar otras actividades maliciosas».

Preservación de ransomware

Además, CISA también agregó la vulnerabilidad Log4j a su catálogo de exploits conocidos, dando a las agencias federales una fecha límite del 24 de diciembre para incluir correcciones de errores. Agencias gubernamentales de Austria, Canadá, Nueva Zelanda y el Reino Unido han emitido recomendaciones similares.

Preservación de ransomware

Los intentos de explotación anteriormente activos en la naturaleza han incluido explotar el error para conectar el dispositivo a la botnet y reducir otras cargas útiles como Cobalt Strike y los mineros de criptomonedas. Sophos, una empresa de ciberseguridad, también dijo que había intentado filtrar las claves de Amazon Web Services (AWS) y otros datos privados de los sistemas comprometidos.

Como una amenaza que evoluciona rápidamente, los investigadores de Check Point advirtieron sobre la introducción de 60 nuevas variantes del exploit Log4j original en menos de 24 horas, y agregaron que bloqueó más de 1,272,000 intentos de intrusión, con el 46% de los ataques organizados por grupos maliciosos conocidos. La compañía de seguridad israelí calificó a Log4Shell como una «pandemia cibernética real».

La gran mayoría de los intentos de abuso de Log4Shell se originan en Rusia (4.275), según los datos de telemetría de Kaspersky, seguida de Brasil (2.493), EE. UU. (1.746), Alemania (1.336), México (1.177), Italia (1.094). ), Francia (1 008) e Irán (976). A modo de comparación, solo se realizaron 351 ensayos en China.

A pesar de la naturaleza cambiante del exploit, el uso generalizado de esta herramienta en muchos sectores también ha puesto a la vanguardia los sistemas de control industrial y los entornos de tecnología operativa que impulsan la infraestructura crítica.

«Log4j se usa ampliamente en aplicaciones internas y externas / de Internet que controlan y administran procesos industriales, por lo que muchas operaciones industriales como electricidad, agua, alimentos y bebidas, fabricación y más están expuestas a un uso y acceso remoto potencial», dijo Sergio. Caltagirone . , vicepresidente de inteligencia de amenazas en Dragos. «Es importante priorizar las aplicaciones externas y de Internet sobre las aplicaciones internas debido a su exposición a Internet, aunque ambas son vulnerables».

Los desarrollos vuelven a enfatizar cómo las grandes vulnerabilidades de seguridad identificadas en el software de código abierto pueden representar una seria amenaza para las organizaciones que incluyen dependencias tan comunes en sus sistemas de TI. Dejando de lado el amplio alcance, Log4Shell es aún más preocupante por su relativa facilidad de uso, que sienta las bases para futuros ataques de ransomware.

«Para ser claros, esta vulnerabilidad presenta un riesgo grave», dijo la directora de CISA, Jen Easterly. «Esta vulnerabilidad, que es ampliamente explotada por un grupo creciente de actores de amenazas, plantea un desafío urgente para los defensores de la red debido a su uso generalizado. Los proveedores también deben comunicarse con sus clientes para asegurarse de que los usuarios finales sepan que su producto contiene esta vulnerabilidad y deben brindar prioridad a las actualizaciones de software «.

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática