giovedì, Gennaio 20, 2022
HomeTecnologiaIl difetto di Log4j riceve grande attenzione da una banda di ransomware...

Il difetto di Log4j riceve grande attenzione da una banda di ransomware “spietata”

Credito immagine: urbazon // Getty Images

Ascolta CIO, CTO e altri C dirigenti di livello e senior su dati e strategie di intelligenza artificiale al Future of Work Summit il 12 gennaio 2022.

L’importante banda di ransomware Conti sembra raddoppiare le attività per sfruttare la vulnerabilità di Apache Log4j, presumibilmente vedendo il difetto diffuso

come potenziale base per una nuova ondata di attacchi, hanno detto i ricercatori della sicurezza a VentureBeat.

Diversi ricercatori hanno ora osservato sforzi di Conti per sfruttare la vulnerabilità nel software di registrazione Log4, noto come Log4Shell, anche per i tentativi di attacco. Mercoledì, la società informatica Qualys ha dichiarato a VentureBeat che il suo team di ricerca ha osservato Conti in azione attorno alla vulnerabilità Log4j. Questa divulgazione da parte di Qualys ha seguito un rapporto

alla fine della scorsa settimana dalla società informatica AdvIntel su Conti che utilizza Log4Shell.

I ricercatori di Qualys hanno osservato “tentativi di attacchi ransomware, alcuni dei quali hanno avuto successo – di Conti, Khonsari , e alcuni avversari sostenuti dallo stato nazionale”, ha affermato Travis Smith, direttore della ricerca sulle minacce malware presso Qualys, in un’e-mail. Le specifiche degli attacchi non sono state divulgate.

Finora, non è stata divulgata pubblicamente una violazione di ransomware riuscita derivante dalla vulnerabilità Log4j. Ma il difetto diffuso e banale da sfruttare in Log4j “è un sogno che diventa realtà per i gruppi di ransomware”, ha affermato Eyal Dotan, fondatore e chief technology officer di Cameyo, in una e-mail.

Catena di attacco completa

Khonsari, che è stata la prima famiglia di ransomware pubblicamente divulgata

dai ricercatori per sfruttare Log4Shell, è stato ora affiancato dalle famiglie di ransomware Conti e TellYouThePass, secondo i ricercatori.

Nel suo rapporto del 17 dicembre, AdvIntel ha affermato che è stato osservato che Conti sta sfruttando la vulnerabilità in Log4j per ottenere l’accesso e spostarsi lateralmente su server VMware vCenter vulnerabili.

Dalla pubblicazione di quel rapporto, AdvIntel ha osservato che Conti ha assemblato una catena di attacchi completa attorno alla vulnerabilità Log4Shell e ha lanciato i primi tentativi di attacco, ha detto la società a VentureBeat. “Abbiamo visto e osservato l’uso diretto in diversi casi mirati a VMware vCenter”, ha affermato in una e-mail il CEO di AdvIntel Vitali Kremez.

La catena di attacco di Conti include l’implementazione della botnet Emotet e l’uso di Cobalt Strike per la ricognizione, escalation dei privilegi, riduzione del carico utile e operazioni di furto di dati, ha affermato Yelisey Boguslavskiy, capo della ricerca presso AdvIntel, in una e-mail a VentureBeat.

“Per Conti, questo è un importante passo avanti nelle loro operazioni offensive, poiché ora possono sperimentare e diversificare il loro arsenale”, ha affermato Boguslavskiy. “Ciò significa che se un determinato vettore di attacco, come gli accessi VPN, diventa meno redditizio, possono sempre compensare investendo di più in Log4j. Inoltre, dà loro un ulteriore vantaggio nella competizione con gruppi più piccoli che non possono permettersi la ricerca adeguata per sfruttare tali vulnerabilità in modo efficiente.”

La ricerca di AdvIntel sulle attività di Conti si è basata su fonte di intelligence, inclusa l’intelligence sulle violazioni delle vittime e la successiva risposta agli incidenti, ha affermato.

In una dichiarazione in risposta al rapporto AdvIntel, VMware ha affermato che “la sicurezza dei nostri clienti è il nostro priorità assoluta” e ha notato che ha emesso un avviso di sicurezza che viene aggiornato regolarmente. “Qualsiasi servizio connesso a Internet e non ancora patchato per la vulnerabilità Log4j (CVE-2021-44228) è vulnerabile agli hacker e VMware consiglia vivamente di applicare patch immediate a Log4j”, ha affermato la società nella nota.

Organizzazione “Spietata”

Conti è creduto


per essere un gruppo ransomware russo che in precedenza si chiamava Wizard Spider. In un rapporto di giugno, Richard Hickman del gruppo di ricerca Unit 42 di Palo Alto Networks ha affermato che Conti “si distingue come una delle più spietate delle dozzine di gang di ransomware che seguiamo.”

“Il gruppo ha trascorso più di un anno ad attaccare organizzazioni in cui le interruzioni IT possono avere conseguenze potenzialmente letali: ospedali, servizi di emergenza sanitaria, servizi medici di emergenza e forze dell’ordine”, ha scritto Hickman nel rapporto.

Ad esempio, un attacco del maggio 2021 in Irlanda “ha provocato l’arresto dell’intera rete informatica del sistema sanitario nazionale, provocando la cancellazione degli appuntamenti, l’arresto dei raggi X sistemi e ritardi nei test COVID”, ha scritto.

A partire dal rapporto di giugno, l’FBI aveva scoperto che più di 400 attacchi informatici erano collegati a Conti, con tre quarti degli attacchi contro organizzazioni con sede negli Stati Uniti, le richieste di riscatto hanno raggiunto i 25 milioni di dollari n, che colloca anche Conti tra i gruppi di ransomware più “avidi”, ha scritto Hickman. Attacchi sofisticati

Conti svolge un ruolo significativo nell’odierno panorama delle minacce a causa della sua portata , ha detto Smith.

“Conti è sempre alla ricerca di ransomware ed è incredibilmente strategico e tattico con il loro approccio”, ha detto. “Non si limitano a inviare una marea di e-mail di phishing: cercano di prendere piede negli ambienti e si muovono il più silenziosamente possibile finché non individuano i gioielli della corona.”

Dato che Log4Shell consente l’esecuzione remota del codice da parte di utenti non autenticati, “sarà un successo incredibile per attori sofisticati come Conti”, ha affermato Smith. “Consentirà ai gruppi di effettuare ricognizioni, spostarsi lateralmente e infine distribuire ransomware.”

Conti deve affrontare una sfida minore su come sfruttare Log4j e più una sfida in competere con altri attori delle minacce per le opportunità di attacco disponibili, ha affermato Dotan. “I gruppi di ransomware più veloci in grado di raggiungere i server più vulnerabili vincerebbero questa corsa”, ha affermato.

E sebbene i principali attacchi ransomware derivanti da Log4j non siano ancora venuti alla luce , ciò non significa che i gruppi di ransomware non siano occupati a prepararsi.

“Se sei un affiliato o un operatore di ransomware in questo momento, hai improvvisamente accesso a tutti questi nuovi sistemi”, ha affermato Sean Gallagher, ricercatore senior sulle minacce presso Sophos Labs. “Hai più lavoro nelle tue mani di quanto tu sappia cosa fare in questo momento.”

Preparativi necessari

Ancora, mentre viene considerata la stessa vulnerabilità Log4j molto facile da sfruttare, è necessaria una discreta quantità di lavoro per utilizzarlo per distribuire ransomware. Il lavoro di scoperta post-sfruttamento deve aver luogo prima che possa essere lanciato un importante attacco ransomware, ha affermato Ed Murphy, capo del prodotto presso Huntress.

“Non è una vulnerabilità persistente attraverso il tuo e il mio laptop. Quindi non è qualcosa che posso semplicemente raggiungere e distribuire un attacco ransomware di massa “spruzza e prega”, ha detto Murphy in un’intervista.

Log4j colpisce i server e la maggior parte dei ransomware gli operatori non vorranno solo riscattare un singolo server, che probabilmente ha dei backup, ha osservato.

“Dove effettivamente guadagnano molto del loro reddito è essere in grado di influenzare un’intera organizzazione”, ha detto Murphy. “Questo è il tipo di caos in cui le persone sono più disposte a pagare quelle richieste di riscatto.”

Quindi, dopo che un utente malintenzionato atterra su un server su una rete aziendale, prima devono capire con quali altri dispositivi possono “parlare” da quel server, ha detto. Quindi, dovranno capire quali applicazioni sono in esecuzione su quei dispositivi e determinare come passare dal server ai laptop ad esso collegati, ha detto Murphy.

Ciò significa che potrebbe essere necessario del tempo prima che i principali attacchi ransomware emergano effettivamente dalla scoperta di Log4Shell. “C’è un’attività che deve avvenire dopo che hanno sfruttato la vulnerabilità Log4j per ottenere davvero un maggiore controllo sulla rete in cui sono atterrati”, ha detto Murphy. Vulnerabilità diffusa

Molte applicazioni aziendali e servizi cloud scritti in Java sono potenzialmente vulnerabili a causa dei difetti di Log4j prima della versione 2.17, rilasciata venerdì scorso. Si ritiene che la libreria di registrazione open source sia utilizzata in qualche forma, direttamente o indirettamente sfruttando un framework Java, dalla maggior parte delle grandi organizzazioni.

Versione 2.17 di Log4j è la terza patch per le vulnerabilità nel software dalla scoperta iniziale di una vulnerabilità di esecuzione di codice remoto (RCE) il 9 dicembre. Azienda di sicurezza Check Point reported lunedì ha osservato tentativi di sfruttamento delle vulnerabilità in Log4j su oltre il 48% di reti aziendali in tutto il mondo.

Il problema del ransomware era già peggiorato molto quest’anno. Per i primi tre trimestri del 2021, SonicWall ha riferito che i tentativi di attacchi ransomware sono aumentati del 148% anno dopo anno. CrowdStrike report

che il pagamento medio del ransomware è aumentato del 63% nel 2021, raggiungendo 1,79 milioni di dollari.

Sono stati osservati tentativi di attacchi contro obiettivi negli Stati Uniti e in Europa utilizzando il ransomware della famiglia TellYouThePass, i ricercatori di Sophos hanno dichiarato a VentureBeat martedì

Previous articleIl settore IT è assillato dalla paura?
Next articleNewzoo: il gioco mobile rappresenta la maggior parte del mercato 2021
RELATED ARTICLES

LEAVE A REPLY

Please enter your comment!
Please enter your name here

- Advertisment -

Most Popular

Recent Comments