Bitdefender reveló el lunes que se están haciendo intentos para atacar máquinas Windows con una nueva familia de ransomware llamada Khonsari, así como un troyano de acceso remoto llamado Orcus, explotando la vulnerabilidad crítica Log4j recientemente revelada.
El ataque aprovecha la falla de ejecución remota del código para descargar una carga adicional, un binario .NET, de un servidor remoto que encripta todos los archivos con la extensión ".khonsari" y muestra una nota de rescate que insta a las víctimas a realizar un pago de Bitcoin en Exchange para recuperar el acceso a los archivos.
Cabe recordar como se ha dicho en innumerables veces, que no se deben pagarse esos rescates ya que no existe ninguna certeza ni seguridad de que los delincuentes vayan a recuperar tu información, sin mencionar que se insentiva el uso de estas herramientas de hacer dinero facil.
La vulnerabilidad se rastrea como CVE-2021-44228 y también es conocida por los apodos "Log4Shell" o "Logjam". En términos simples, el error podría obligar a un sistema afectado a descargar software malicioso.
Log4j es una biblioteca Java de código abierto mantenida por la organización sin fines de lucro Apache Software Foundation. Con cerca de 475.000 descargas de su proyecto GitHub y ampliamente adoptada para el registro de eventos de aplicaciones, la utilidad también forma parte de otros marcos, como Elasticsearch, Kafka y Flink, que se utilizan en muchos sitios web y servicios populares.
La divulgación se produce cuando la Agencia de Seguridad de Infraestructura y Ciberseguridad de los EE. UU. (CISA) emitió una advertencia de alarma de explotación activa y generalizada de la falla que, si no se aborda, podría otorgar acceso sin restricciones y desencadenar una nueva ronda de ataques cibernéticos.
"Un atacante puede explotar esta vulnerabilidad mediante la presentación de una petición especialmente diseñado a un sistema vulnerable, que hace que el sistema logre ejecutar código arbitrario", la agencia dijo en la orientación emitida el lunes. "La solicitud permite al adversario tomar el control total del sistema. El adversario puede entonces robar información, lanzar ransomware o realizar otras actividades maliciosas".
Además, CISA también ha agregado la vulnerabilidad Log4j a su Catálogo de vulnerabilidades explotadas conocidas , dando a las agencias federales una fecha límite del 24 de diciembre para incorporar parches para la falla. Agencias gubernamentales de Austria , Canadá , Nueva Zelanda y el Reino Unido han emitido avisos similares .
Khonsari ransomware
Hasta ahora, los intentos de explotación activa registrados en la naturaleza han involucrado el abuso de la falla para conectar los dispositivos a una botnet y lanzar cargas útiles adicionales como Cobalt Strike y mineros de criptomonedas. La firma de ciberseguridad Sophos dijo que también observó intentos de exfiltrar claves y otros datos privados de Amazon Web Services.
En una señal de que la amenaza está evolucionando rápidamente, los investigadores de Check Point advirtieron sobre la introducción de 60 nuevas variaciones del exploit Log4j original en menos de 24 horas, agregando que bloqueó más de 845,000 intentos de intrusión, con el 46% de los ataques organizados por grupos conocidos.
La gran mayoría de los intentos de explotación contra Log4Shell se han originado en Rusia (4.275), según los datos de telemetría de Kaspersky, seguida de Brasil (2.493), EE. UU. (1.746), Alemania (1.336), México (1.177), Italia (1.094 ), Francia (1.008) e Irán (976). En comparación, solo se realizaron 351 intentos desde China.
A pesar de la naturaleza cambiante del exploit, la prevalencia de la herramienta en una multitud de sectores también ha puesto en alerta máxima a los sistemas de control industrial y los entornos de tecnología operativa que alimentan la infraestructura crítica.
"Log4j se utiliza en gran medida en aplicaciones internas y externas a Internet que gestionan y controlan los procesos industriales, dejando muchas operaciones industriales como energía eléctrica, agua, alimentos y bebidas, fabricación y otras expuestas a una potencial explotación y acceso remoto", dijo Sergio Caltagirone,vicepresidente de inteligencia de amenazas en Dragos. "Es importante priorizar las aplicaciones externas y orientadas a Internet sobre las aplicaciones internas debido a su exposición a Internet, aunque ambas son vulnerables".
El desarrollo una vez más destaca cómo las principales vulnerabilidades de seguridad identificadas en el software de código abierto podrían provocar una seria amenaza para las organizaciones que incluyen dependencias estándar en sus sistemas de TI. Dejando de lado el amplio alcance, Log4Shell es aún más preocupante por su relativa facilidad de explotación, lo que sienta las bases para futuros ataques de ransomware.
"Para que quede claro, esta vulnerabilidad representa un riesgo grave," director CISA Jen Easterly dijo . "Esta vulnerabilidad, que está siendo ampliamente explotada por un conjunto creciente de actores de amenazas, presenta un desafío urgente para los defensores de la red dado su amplio uso. Los proveedores también deben comunicarse con sus clientes para asegurarse de que los usuarios finales sepan que su producto contiene esta vulnerabilidad y deben priorizar las actualizaciones de software ".
Fuente: https://thehackernews.com/2021/12/hackers-exploit-log4j-vulnerability-to.html
