Las vulnerabilidades de Log4j, las cepas de malware se multiplican; Gran ataque revelado


Escuche a los CIO, CTO y otros ejecutivos senior y de nivel C sobre los datos y las estrategias de inteligencia artificial en la Cumbre sobre el futuro del trabajo el 12 de enero de 2022. Aprende más


A medida que los equipos de ciberseguridad lidian con la posibilidad de parchear sus sistemas contra las vulnerabilidades de Apache Log4j por tercera vez, han surgido cepas adicionales de malware que explotan las vulnerabilidades y un ataque a una agencia militar europea.

La compañía de seguridad Check Point anunció el lunes que ahora ha intentado explotar las vulnerabilidades en la biblioteca de registro Log4j en más del 48% de las redes corporativas en todo el mundo, frente al 44% del martes pasado.

El lunes, el Ministerio de Defensa belga anunció que parte de su red había sido cerrada luego de un ciberataque el jueves pasado. Un portavoz del ministerio dijo al periódico belga De Standaard que el ataque se debió a una explotación de la vulnerabilidad en Log4j. VentureBeat se comunicó con un portavoz del Departamento de Defensa para hacer comentarios.

El informe no dijo si el ataque fue ransomware, pero una traducción del informe indica que el Ministerio de Defensa belga ha tomado «medidas de cuarentena» para aislar las «áreas afectadas» de su red.

Cepas de malware adicionales

Mientras tanto, el grupo de investigación de seguridad Cryptolaemus informó el lunes que había confirmado que Dridex, una cepa de malware dirigido a instituciones financieras, se había entregado a través de una explotación de la vulnerabilidad en Log4j. Las cargas útiles de Dridex se entregaron en dispositivos Windows, dijo el grupo de investigación en Gorjeo.

Los investigadores informaron previamente haber visto el uso de botnets Mirai y Muhstik para llevar a cabo ataques distribuidos de denegación de servicio (DDoS) utilizando el error Log4j, así como desplegar malware de parentesco para la minería de criptomonedas. Cisco Talos informó anteriormente sobre observaciones de ataques basados ​​en correo electrónico destinados a explotar la vulnerabilidad.

Akamai Technologies dijo en una publicación de blog que, junto con los mineros criptográficos y los bots DDoS, hemos «identificado ciertos atacantes agresivos que están realizando una gran cantidad de escaneos dirigidos a máquinas Windows» al explotar la vulnerabilidad en Log4j.

«Los atacantes intentaron usar la infame puerta trasera ‘Netcat’, una conocida herramienta de escalada de privilegios de Windows que a menudo se usa para luego moverse hacia los lados o para adquirir privilegios para cifrar el disco duro con ransomware», dijo el equipo de investigación de amenazas de seguridad de la compañía. .

Los investigadores de Uptycs dijeron que vieron ataques con la vulnerabilidad Log4j que involucraban malware de botnet (Dofloo, Tsunami / Muhstik y Mirai), mineros de monedas (Kinsing y XMRig) y una familia no identificada de ransomware de Linux (incluida una nota de rescate).

«Podemos esperar que más familias de malware, especialmente ransomware, utilicen esta vulnerabilidad y se infiltran en las computadoras de las víctimas en los próximos días», dijeron los investigadores de Uptycs en la publicación del lunes.

Amenaza de ransomware

En el momento de redactar este documento, no se ha revelado públicamente ninguna infracción de ransomware exitosa que explotara la vulnerabilidad en Log4j, aunque se han observado varios intentos de entrega de ransomware utilizando el error.

Los investigadores informan que, en relación con la vulnerabilidad Log4j, intentaron implementar una nueva familia de ransomware, Khonsari, y una familia más antigua de ransomware, TellYouThePass.

Los investigadores de Microsoft también han descubierto actividad por presuntos corredores de acceso, que intentan establecer una puerta trasera en las redes corporativas que luego pueden venderse a operadores de ransomware, mientras que también se han observado exploits Log4j por parte de la banda de ransomware Conti.

Microsoft y la empresa cibernética Mandiant en particular dijeron la semana pasada que vieron actividad de grupos de estados-nación, afiliados a países como China e Irán, que intentaban explotar la vulnerabilidad Log4j. Microsoft dijo que un grupo iraní llamado Phosphorus, que anteriormente usaba ransomware, «adquirió y modificó el exploit Log4j».

resolver problemas

Los esfuerzos de parcheo de las empresas se vieron obstaculizados por las vulnerabilidades descubiertas en los dos primeros parches para Log4j la semana pasada.

Apache lanzó la versión 2.17 de Log4j el viernes, el tercer parche de la compañía para vulnerabilidades en software de código abierto desde que un ataque de servicio descubrió por primera vez una vulnerabilidad de ejecución remota de código (RCE) conocida como Log4Shell el 9 de diciembre (DoS) en la versión 2.16 publicada el martes pasado. La vulnerabilidad está calificada como «alta» y fue descubierta de forma independiente por varias personas, incluidos investigadores de Akamai y Trend Micro.

La versión 2.16, a su vez, solucionó un problema con el parche de la versión 2.15 para Log4Shell, que no corrigió por completo el problema de RCE en algunas configuraciones.

Además, un descubrimiento de la firma de ciberseguridad Blumira la semana pasada sugiere que el error Log4j puede contener un vector de ataque adicional que podría dejar vulnerables no solo a los servidores vulnerables, sino también a las personas que navegan por Internet desde una computadora con el software Log4j sin parches. («En este momento no hay evidencia de explotación activa», dijo Blumira).

Vulnerabilidad de seguridad generalizada

Muchas aplicaciones y servicios escritos en Java son potencialmente vulnerables debido a los errores en Log4j antes de la versión 2.17. Los errores de RCE pueden permitir que los usuarios no autenticados ejecuten código de forma remota.

Además de los productos corporativos de los principales proveedores como Cisco, VMware y Red Hat, las vulnerabilidades en Log4j afectan a muchos servicios en la nube. La investigación de Wiz, puesta a disposición de VentureBeat, sugiere que el 93% de todos los entornos de nube estaban en riesgo por las vulnerabilidades, a pesar de que se estima que el 45% de los recursos de nube vulnerables fueron parcheados en este momento.

Hasta ahora, no hay indicios de si el ataque de ransomware generalizado contra Kronos Private Cloud estaba relacionado con la vulnerabilidad de Log4j o no. La empresa matriz de la compañía, Ultimate Kronos Group (UKG), dijo en su última actualización el domingo que la cuestión de si Log4j era un factor aún está siendo investigada, aunque la compañía descubrió que rápidamente comenzó a parchear la vulnerabilidad.

Sin embargo, según los investigadores, la probabilidad de ataques de ransomware inminentes que se remontan a las vulnerabilidades de Log4j es alta.

«Si actualmente es un socio u operador de ransomware, de repente tiene acceso a todos estos nuevos sistemas», dijo Sean Gallagher, investigador senior de amenazas en Sophos Labs, en una entrevista con VentureBeat el viernes. «Tienes más trabajo en tus manos del que actualmente sabes qué hacer con él».

VentureBeat

La misión de VentureBeat es ser un mercado digital para que los tomadores de decisiones técnicas obtengan conocimientos sobre tecnologías y transacciones transformadoras. Nuestro sitio web proporciona información esencial sobre tecnologías y estrategias de datos para ayudarlo a administrar su organización. Lo invitamos a convertirse en miembro de nuestra comunidad para obtener acceso:

  • información actual sobre los temas de su interés
  • nuestros boletines
  • contenido de liderazgo intelectual cerrado y acceso con descuento a nuestros eventos galardonados, como Transformar 2021: Aprende más
  • Funciones de red y más

conviértete en miembro



Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *