La faille Log4j attire l'attention d'un gang de ransomware «impitoyable»

décembre 22, 2021 Par admin 0
La faille Log4j attire l'attention d'un gang de ransomware «impitoyable»

Crédit image: urbazon // Getty Images

Le gang de ransomware Conti semble doubler sur les activités d'exploitation de la vulnérabilité Apache Log4j, considérant vraisemblablement la faille généralisée comme la base potentielle d'une nouvelle vague d'attaques, ont déclaré des chercheurs en sécurité à VentureBeat.

Plusieurs chercheurs ont maintenant ont observé les efforts de Conti pour exploiter la vulnérabilité du logiciel de journalisation Log4, connu sous le nom de Log4Shell, y compris pour les tentatives d'attaques. Mercredi, la cyber-entreprise Qualys a déclaré à VentureBeat que son équipe de recherche avait observé Conti en action autour de la vulnérabilité Log4j. Cette divulgation par Qualys fait suite à un rapport de la cyber-entreprise AdvIntel à la fin de la semaine dernière sur Conti utilisant Log4Shell. par Conti, Khonsari et certains adversaires soutenus par des États », a déclaré Travis Smith, directeur de la recherche sur les menaces de logiciels malveillants chez Qualys, dans un e-mail. Les détails sur les attaques n'ont pas été divulgués.

Jusqu'à présent, il n'y a eu aucune divulgation publique d'une violation réussie d'un ransomware provenant de la vulnérabilité Log4j. Mais la faille répandue et triviale à exploiter dans Log4j « est un rêve devenu réalité pour les groupes de ransomware », a déclaré Eyal Dotan, fondateur et directeur de la technologie chez Cameyo, dans un e-mail.

Chaîne d'attaque complète

Khonsari, qui fut le premier La famille de ransomwares divulguée publiquement par les chercheurs pour exploiter Log4Shell, a maintenant été rejointe par les familles de ransomwares Conti et TellYouThePass, selon les chercheurs.

Dans son rapport du 17 décembre, AdvIntel a déclaré que Conti a été observé en train d'exploiter la vulnérabilité dans Log4j pour accéder et se déplacer latéralement sur les serveurs VMware vCenter vulnérables.

Depuis la publication de ce rapport, AdvIntel a observé que Conti avait assemblé une chaîne d'attaque complète autour de la vulnérabilité Log4Shell et le lancement d'attaques initiales, a déclaré la société à VentureBeat. « Nous avons vu et observé l'utilisation directe dans différents cas ciblant VMware vCenter », a déclaré le PDG d'AdIntel, Vitali Kremez, dans un e-mail.

La chaîne d'attaque de Conti comprend le déploiement du botnet Emotet et l'utilisation de Cobalt Strike pour la reconnaissance, escalade des privilèges, suppression de la charge utile et opérations de vol de données, a déclaré Yelisey Boguslavskiy, responsable de la recherche chez AdvIntel, dans un e-mail à VentureBeat.

« Pour Conti, c'est un grand pas dans leurs opérations offensives, car ils peuvent désormais expérimenter et diversifier leur arsenal », a déclaré Boguslavskiy. « Cela signifie que si un certain vecteur d'attaque, comme les accès VPN, devient moins rentable, ils peuvent toujours compenser en investissant davantage dans Log4j. De plus, cela leur donne un autre avantage par rapport aux petits groupes qui ne peuvent pas se permettre la recherche appropriée pour exploiter efficacement ces vulnérabilités. source de renseignements, y compris les renseignements sur les violations des victimes et la réponse aux incidents ultérieurs, a-t-il déclaré.

Dans une déclaration répondant au rapport AdvIntel, VMware a déclaré que «la sécurité de nos clients est notre priorité absolue » et a noté qu'il a publié un avis de sécurité qui est mis à jour régulièrement. « Tout service connecté à Internet et non encore corrigé pour la vulnérabilité Log4j (CVE-2021-44228) est vulnérable aux pirates, et VMware recommande fortement de corriger immédiatement Log4j », a déclaré la société dans le communiqué.

Organisation 'Impitoyable'

On pense que Conti est un groupe de ransomware russe qui s'appelait auparavant Wizard Spider. Dans un rapport de juin, Richard Hickman du groupe de recherche Unit 42 de Palo Alto Networks a déclaré que Conti « se démarque comme l'un des plus impitoyables des dizaines de gangs de rançongiciels que nous suivons ». «Le groupe a passé plus d'un an à attaquer des organisations où les pannes informatiques peuvent avoir des conséquences mortelles: les hôpitaux, les transporteurs du 911, les services médicaux d'urgence et les organismes chargés de l'application des lois», a écrit Hickman dans le rapport.

Par exemple, une attaque en mai 2021 en Irlande « a provoqué la fermeture de l'ensemble du réseau informatique du système de santé du pays – entraînant l'annulation de rendez-vous, l'arrêt des systèmes de radiographie et retards dans les tests COVID », a-t-il écrit. les attaques contre des organisations basées aux États-Unis. Les demandes de rançon ont atteint plus de 25 millions de dollars, ce qui place également Conti parmi les ra les plus « gourmands groupes nsomware, a écrit Hickman.

Attaques sophistiquées

Conti joue un rôle important dans le paysage des menaces d'aujourd'hui en raison de son ampleur, a déclaré Smith.

« Conti est toujours après les ransomwares et est incroyablement stratégique et tactique avec leur approche », a-t-il déclaré. « Ils ne se contentent pas d'envoyer une masse d'e-mails de phishing, ils cherchent à s'implanter dans des environnements et à se déplacer aussi silencieusement que possible jusqu'à ce qu'ils trouvent les joyaux de la couronne. »

Étant donné que Log4Shell permet l'exécution à distance de code par des utilisateurs non authentifiés, «cela va permettre à des acteurs sophistiqués tels que Conti de réussir énormément», a déclaré Smith. «Cela permettra aux groupes d'effectuer des reconnaissances, de se déplacer latéralement et, en fin de compte, de déployer des ransomwares». en concurrence avec d'autres acteurs de la menace pour les opportunités d'attaque disponibles, a déclaré Dotan. « Les groupes de ransomware les plus rapides capables d'atteindre les serveurs les plus vulnérables gagneraient cette course », a-t-il déclaré. , cela ne signifie pas que les groupes de ransomware ne sont pas occupés à se préparer. systèmes », a déclaré Sean Gallagher, chercheur senior sur les menaces chez Sophos Labs. «Vous avez plus de travail sur les mains que vous ne savez quoi faire en ce moment.»

Préparations nécessaires

Pourtant, alors que la vulnérabilité Log4j elle-même est considérée comme très facile à exploiter, une bonne quantité de travail sur le terrain est nécessaire pour l'utiliser pour déployer un ransomware. Un travail de découverte post-exploitation doit avoir lieu avant qu'une attaque de ransomware majeure puisse être lancée, a déclaré Ed Murphy, chef de produit chez Huntress.

« Ce n'est pas une vulnérabilité persistante sur votre et mon ordinateur portable. Ce n'est donc pas quelque chose que je peux simplement tendre la main et déployer une attaque de ransomware de masse «spray et prier» », a déclaré Murphy dans une interview.

Log4j affecte les serveurs et la plupart des ransomwares les opérateurs ne voudront pas simplement racheter un seul serveur, qui a probablement des sauvegardes, a-t-il noté. une organisation entière », a déclaré Murphy. «C'est le genre de chaos où les gens sont plus disposés à payer ces demandes de rançon.»

Ainsi, après qu'un attaquant atterrit sur un serveur sur un réseau d'entreprise, il doivent d'abord déterminer à quels autres appareils ils peuvent « parler » à partir de ce serveur, a-t-il déclaré. Ensuite, ils devront déterminer quelles applications s'exécutent sur ces appareils et déterminer comment se frayer un chemin entre le serveur et les ordinateurs portables qui y sont connectés, a déclaré Murphy.

Cela signifie qu'il peut s'écouler un certain temps avant que des attaques de ransomware majeures n'apparaissent à la suite de la découverte de Log4Shell. « Il y a une activité qui doit se produire après avoir exploité la vulnérabilité Log4j pour vraiment gagner plus de contrôle sur le réseau dans lequel ils ont atterri », a déclaré Murphy. Vulnérabilité généralisée

De nombreuses applications d'entreprise et services cloud écrits en Java sont potentiellement vulnérables en raison de les failles de Log4j avant la version 2.17, sortie vendredi dernier. On pense que la bibliothèque de journalisation open source est utilisée sous une forme ou une autre, directement ou indirectement en tirant parti d'un framework Java, par la majorité des grandes organisations.

Version 2.17 de Log4j est le troisième correctif pour les vulnérabilités du logiciel depuis la découverte initiale d'une vulnérabilité d'exécution de code à distance (RCE) le 9 décembre. La société de sécurité Check Point a rapporté lundi avoir observé des tentatives d'exploitation de vulnérabilités dans Log4j sur plus de 48% des réseaux d'entreprise dans le monde. .

Le problème du ransomware s'était déjà aggravé cette année. Pour les trois premiers trimestres de 2021, SonicWall a signalé que les tentatives d'attaques par ransomware ont augmenté de 148% d'une année sur l'autre. CrowdStrike rapporte que le paiement moyen par ransomware a augmenté de 63% en 2021, atteignant 1,79 million de dollars. famille, les chercheurs de Sophos ont déclaré à VentureBeat mardi.

Le ransomware n'est cependant qu'une des nombreuses menaces majeures potentiellement posées par la vulnérabilité Log4j. Il existe un danger plus élevé, mais moins visible, lié à Log4Shell, selon Dotan. Et c'est l'existence de « groupes de pirates informatiques sophistiqués et de pirates informatiques soutenus par l'État qui n'ont pas l'intention de profiter de cette opportunité pour le moment », a-t-il déclaré.

Au lieu de cela, ces acteurs de la menace «installeraient plutôt une porte dérobée et prendraient secrètement le contrôle des serveurs injectés au cours des prochains mois, sans que leurs propriétaires le sachent», a déclaré Dotan.

VentureBeat

  • La mission de VentureBeat est d'être une place publique numérique permettant aux décideurs techniques d'acquérir des connaissances sur la technologie transformatrice et d'effectuer des transactions. Notre site fournit des informations essentielles sur les technologies et les stratégies de données pour vous guider dans la gestion de vos organisations. Nous vous invitons à devenir membre de notre communauté, pour accéder à :

  • à jour informations sur les sujets qui vous intéressent nos newsletters
  • contenu de leader d'opinion et accès à prix réduit à nos événements prisés, tels que Transformer 2021: En savoir plus

    fonctionnalités de mise en réseau, et plus

    Devenir membre