La vulnérabilité Log4j a ouvert la porte aux opérateurs de ransomware

décembre 18, 2021 Par admin 0
La vulnérabilité Log4j a ouvert la porte aux opérateurs de ransomware

Crédit image: Getty Images


Écoutez les DSI, les CTO et d'autres cadres supérieurs et cadres supérieurs sur les stratégies de données et d'IA lors du Sommet sur l'avenir du travail du 12 janvier 2022. Apprendre encore plus


Pour les opérateurs cybercriminels spécialisés dans les ransomwares, les affaires étaient déjà très bonnes avant la divulgation de la vulnérabilité simple à exploiter dans le logiciel de journalisation Log4j largement utilisé d'Apache. Mais de nombreux indicateurs suggèrent qu'en raison de la vulnérabilité Log4j, connue sous le nom de Log4Shell, les opportunités dans le secteur des ransomwares sont sur le point de devenir encore plus abondantes. Au détriment de tous.

Les défenseurs, bien sûr, font tout pour empêcher que cela se produise. Mais selon les chercheurs en sécurité, des signes sont apparus suggérant que les attaques de ransomwares sont presque inévitables au cours des prochains mois grâce à la faille dans Log4j, qui a été divulguée il y a un peu plus d'une semaine.

Accès de vente

    Un indicateur inquiétant ces derniers jours, c'est l'activité des «courtiers d'accès initial», des cybercriminels dont la spécialité est de pénétrer dans un réseau, puis d'installer une porte dérobée pour permettre l'entrée et la sortie sans détection. Plus tard, ils vendent cet accès à un opérateur de ransomware qui mène l'attaque réelle, ou parfois à une entreprise de « ransomware-as-a-service », selon les chercheurs en sécurité. Les opérateurs de ransomware en tant que service louent des variantes de ransomware à d'autres attaquants, ce qui leur évite de créer leurs propres variantes.

    Microsoft a signalé cette semaine qu'il avait observé des activités par des courtiers d'accès présumés, liés à des affiliés de ransomware, qui ont maintenant exploité la vulnérabilité dans Log4j. Cela suggère qu'une « augmentation des ransomwares exploités par l'homme » suivra contre les systèmes Windows et Linux, a déclaré Microsoft. tentative d'installation de portes dérobées Windows qui pointent vers des courtiers d'accès, a déclaré Sean Gallagher, chercheur principal sur les menaces chez Sophos Labs. d'autres cybercriminels qui peuvent vendre l'accès en parallèle », a déclaré Gallagher à VentureBeat.

      Activité des gangs de ransomware

D'autres développements préoccupants incluent un rapport de la cyber-entreprise AdvIntel selon lequel un gang majeur de ransomware, Conti, s'est avéré être exploiter la vulnérabilité dans Log4j pour accéder et se déplacer latéralement sur les serveurs VMware vCenter vulnérables. Dans une déclaration en réponse au rapport, VMware a déclaré que « la sécurité de nos clients est notre priorité absolue » et a noté qu'il a publié un avis de sécurité qui est mis à jour régulièrement, tandis que les utilisateurs peuvent également s'abonner à sa liste de diffusion des annonces de sécurité.

«Tout service connecté à Internet et non encore corrigé pour la vulnérabilité Log4j (CVE-2021-44228) est vulnérable aux pirates informatiques, et VMware recommande fortement de corriger immédiatement Log4j» a déclaré la société dans le communiqué.

Il faudra peut-être encore des semaines ou des mois avant que les premières attaques de ransomware réussies ne résultent de la vulnérabilité Log4Shell, a noté Gallagher. Les opérateurs de ransomware exportent souvent lentement les données d'une entreprise pendant un certain temps avant de lancer le ransomware qui crypte les fichiers de l'entreprise, a déclaré Gallagher. Cela permet à l'opérateur d'extorquer plus tard l'entreprise en échange de ne pas publier ses données sur le Web. de ce à quoi les gens ont eu accès et quel est l'impact économique de cet accès », a déclaré Gallagher.

    Une menace croissante

      Le problème des ransomwares s'était déjà aggravé cette année. Pour les trois premiers trimestres de 2021, SonicWall a signalé que les tentatives d'attaques par ransomware ont augmenté de 148% d'une année sur l'autre. CrowdStrike rapporte que le paiement moyen par ransomware a augmenté de 63 % en 2021, atteignant 1,79 million de dollars.

      Soixante-six pour cent des entreprises ont subi une attaque de ransomware au cours des 12 derniers mois, selon le récent rapport de CrowdStrike, contre 56% dans le rapport 2020 de l'entreprise.

      La vague d'incidents de ransomware de grande envergure de cette année comprenait des attaques contre l'opérateur de pipeline de carburant Colonial Pipeline, de la viande la société de transformation JBS Foods et la société de logiciels de gestion informatique Kaseya, qui ont toutes eu des répercussions massives bien au-delà de leurs murs d'entreprise. réponse herculéenne des équipes de sécurité. Mais même quand même, la probabilité d'attaques de ransomware qui remontent à la faille est élevée, selon les chercheurs.

      « Si vous êtes actuellement un affilié ou un opérateur de ransomware, vous ont soudainement accès à tous ces nouveaux systèmes », a déclaré Gallagher. «Vous avez plus de travail sur les mains que vous ne savez quoi faire en ce moment.»

      ) Vulnérabilité généralisée

        De nombreuses applications et services écrits en Java sont potentiellement vulnérables à Log4Shell, qui peut permettre l'exécution à distance de code par des utilisateurs non authentifiés. Des chercheurs du géant de la cybersécurité Check Point ont déclaré avoir observé des tentatives d'exploitation de la vulnérabilité Log4j sur plus de 44% des réseaux d'entreprise dans le monde. suggère qu'il pourrait y avoir un vecteur d'attaque supplémentaire dans la faille Log4j, par lequel non seulement les serveurs vulnérables, mais aussi les individus naviguant sur le Web à partir d'une machine sur laquelle se trouve un logiciel Log4j non corrigé, pourraient être vulnérables. (« À ce stade, il n'y a aucune preuve d'exploitation active », a déclaré Blumira.)

        Des tentatives de livraison de ransomware ont déjà été effectuées en utilisant la vulnérabilité dans Log4j. Bitdefender et Microsoft ont signalé cette semaine des tentatives d'attaques, utilisant une nouvelle famille de ransomwares appelée Khonsari, qui ont exploité la faille. Microsoft a également déclaré qu'un groupe iranien connu sous le nom de Phosphorus, qui a déjà déployé un ransomware, a été vu « acquérir et modifier l'exploit Log4j ». cette écriture, il n'y a eu aucune divulgation publique d'une brèche réussie de ransomware qui a exploité la vulnérabilité dans Log4j.

        « Nous n'avons pas nécessairement vu le déploiement direct de ransomware, mais c'est juste une question de temps », a déclaré Nick Biasini, responsable de la sensibilisation chez Cisco Talos, dans un e-mail cette semaine. « Il s'agit d'une vulnérabilité de gravité élevée que l'on peut trouver dans d'innombrables produits. Le temps nécessaire pour que tout soit corrigé seul permettra à divers groupes de menaces d'exploiter cela dans une variété d'attaques, y compris les ransomwares. Et Kronos ?

          Jusqu'à présent, il n'y a toujours pas d'indicateur indiquant si le dernier L'attaque de ransomware de samedi contre Kronos Private Cloud avait ou non un lien avec la vulnérabilité Log4j. L'attaque continue d'être largement ressentie, avec des chèques de paie potentiellement retardés pour les travailleurs de nombreuses entreprises qui utilisent le logiciel pour leur paie.

          Dans une mise à jour vendredi, la société mère du entreprise, Ultimate Kronos Group (UKG), a déclaré que la question de savoir si Log4j était un facteur est toujours à l'étude, bien que la société ait noté qu'elle avait rapidement commencé à corriger la vulnérabilité.

          « Dès que la vulnérabilité Log4j a été récemment signalée publiquement, nous avons lancé des processus de correctifs rapides à travers UKG et nos filiales, ainsi qu'une surveillance active de notre chaîne d'approvisionnement de logiciels pour tout avis de logiciel tiers qui pourrait être affecté par cela vulnérabilité », a déclaré la société. « Nous cherchons actuellement à savoir s'il existe ou non une relation entre le récent incident de sécurité de Kronos Private Cloud et la vulnérabilité Log4j. » atteint par VentureBeat vendredi.

          Hypothétiquement, même si l'attaque a été activée par la vulnérabilité Log4j, il est «tout à fait possible» que UKG ne soit jamais en mesure de le déterminer, Gallagher noté.

          « Il arrive souvent que vous n'ayez aucun moyen de savoir quel était le point d'accès initial d'un opérateur de ransomware », a-t-il déclaré. « Au moment où ils ont terminé, vous fouillez dans les cendres avec un râteau pour essayer de trouver ce qui s'est passé. Parfois, vous pouvez trouver des pièces qui vous disent . Et parfois non. Il est tout à fait possible que s'il s'agissait de Log4j, ils n'en aient aucune idée.

            VentureBeat

              La mission de VentureBeat est d'être une place publique numérique pour les décideurs techniques afin d'acquérir des connaissances sur la technologie transformatrice et d'effectuer des transactions. Notre site fournit des informations essentielles sur les technologies et les stratégies de données pour vous guider dans la gestion de vos organisations. Nous vous invitons à devenir membre de notre communauté, pour accéder à :

                  des informations à jour sur les sujets qui vous intéressent
                    nos newsletters

                • pensée fermée- contenu leader et accès à prix réduit à nos événements prisés, tels que Transform 2021 : Apprendre encore plus
                • fonctionnalités de mise en réseau, et plus

              Devenir membre