Tehdit aktörleri, APACHE LOG4J kütüphanesinde kritik bir uzaktan kod yürütme hatasını hedefleyen, Windows ve Linux cihazlarına karşı saldırılara saldırırken eski ve nispeten aktif olmayan bir Ransomware ailesini canlandırdı.
Bilinenler, 404 takımın HEIGE, bu saldırıları ilk önce Pazartesi günü, CVE-2021-44228 olarak izlenen ve log4shell olarak bilinen Kusurları hedef alan istifi kullanan eski Windows sistemlerine düştüğünü gözlemledikten sonra bu saldırıları bildirdi.
HEIGE'nin raporu, TELLYOUTHEPASH Ransomware örneklerinden birini başarıyla yakalayan, Log4shell'i kullanan saldırılardan birini başarıyla yakalayan SangFor tehdit istihbarat ekibi tarafından onaylandı.
Daha fazla keşfettikleri için (Cronup'ın Germán Fernández'in de onaylandığı bulgular), Ransomware SSH tuşlarını toplayan ve kurbanların ağlarında lateral olarak hareket ettiren bir Linux versiyonuna sahiptir.
Araştırmacılar, "Bunun," Tellyouthepass Ransomware'in saldırıları başlatmak için yüksek riskli güvenlik açıkları kullandığı ilk defa olmadığını belirtmekte fayda var "dedi. "Geçen yılın erken saatlerinde, birden fazla örgütsel birimlere saldırmak için sonsuz mavi güvenlik açıklarını kullanmıştı."
Diğer güvenlik araştırmacıları [1, 2] ayrıca bu saldırılarda konuşlandırılan fidye yazılım örneklerinden birini analiz ettiler ve Tellyouthepass ailesine "muhtemel" olarak etiketledi.
İD Ransomware Hizmeti'ne yapılan başvuru istatistiklerine göre, Tellyouthepass Ransomware, log4shell-concept of-concept of Concept ofs online olarak yayımlandıktan sonra faaliyette büyük ve ani bir sivri gördü.
Tellyouthepass, log4shell saldırılarında konuşlandırılan ilk fidye yazılım gerilimi değildir, çünkü finansal olarak motive olmuştular, finansal olarak motive olmuştular, Monero madencileri tehlikeye giren sistemler ve devlet destekli bilgisayar korsanları, takip eden aktiviteler için dayanaklar yaratmaya başladılar.
BitDefender ilk önce yeni bir Ransomware ailesi bulduklarını bildirdi (bir silecek kadar etiketlendi) Khonsari'yi doğrudan Log4Shell Exploits üzerinden yüklediklerini söylediler.
Microsoft 365 Defender Tehdit İstihbarat Ekibi ayrıca Khonsari Ransomware yüklerinin kendi kendine barındırılan minecraft sunucularına düştüğünü gördü.
Son fakat en az değil, Conti Ransomware operatörleri ayrıca, hedeflerin ağları aracılığıyla yanal olarak hareket etmek, VMware VCenter Server örneklerine erişim kazandırmak ve sanal makineleri şifrelemek için bir LOG4SHELL Exploit'i de eklediler.
İlgili haberlerde, CISA, Federal Sivil Executive Branch Şube kurumlarını bugün 23 Aralık'a kadar önümüzdeki altı gün içinde log4shell güvenlik açığına karşı düzeltmelerini emretti.
Cybersecurity ajansı, son zamanlarda, hatayı 24 Aralık'a kadar hatayı hafifletmek için federal ajanslardan hızlandırılmış eylem gerektiren bilinen sömürülmüş güvenlik açıklarının kataloğuna da ekledi.
Conti Ransomware, VMware VCenter sunucularını kesmek için log4j hatasını kullanır.
Yeni Ransomware şimdi log4shell saldırılarında konuşlandırıldı
CISA, devam eden tehditler için uyanık kalmak için kritik altyapıyı uyardı
Tüm log4j, logback hataları şimdiye kadar biliyoruz ve neden hendek yapmalısınız 2.15
ABD Acil Direktifi Govt ajanslarını LOG4J hatasını düzeltmeye emretti
Kaynak: Bleeping Computer