Log4J y ransomware: cómo lo utilizan los piratas informáticos
Los grupos de ransomware están acudiendo en masa para utilizar la vulnerabilidad Log4j que ha afectado a empresas de todo el mundo. Pandillas criminales nuevas y establecidas, piratas informáticos respaldados por estados nacionales y agentes de acceso temprano se están aprovechando del problema, que según los expertos abre la puerta para que los piratas informáticos intenten más ataques en el lado del servidor. Seguimiento técnico.
Log4j es una vulnerabilidad de JavaScript que se encuentra en millones de computadoras detectadas a principios de este mes y ha creado el entorno perfecto para que ataquen los grupos de ransomware. Toby Lewis, jefe global de análisis de amenazas de la empresa de seguridad Darktrace, dice:
Las bandas de ransomware arman Log4J
De la Agencia de Delitos Cibernéticos de EE. UU. CISA Advertencia original Acerca de Log4j El 11 de diciembre, los investigadores descubrieron que numerosas bandas de ransomware e intrusos utilizaban piratas informáticos para infiltrarse en sistemas y redes. Kandy, una de las bandas de ransomware más ricas del mundo, utiliza la explotación de forma peligrosa, según un informe. Informe de amenazas Publicado por la firma de seguridad Advintel. La mafia ya ha utilizado vulnerabilidades para atacar el software de administración del servidor vCenter de VMware, lo que permite a los piratas informáticos infiltrarse en los sistemas cliente de VMware.
Log4j también es responsable de revivir una cepa de ransomware que ha estado inactiva durante los últimos dos años. TellYouThePass no se ha encontrado en la naturaleza desde julio de 2020, pero ahora ha reaparecido y es una de las amenazas de ransomware más activas que utilizan Log4J. “Hemos visto específicamente a los actores de amenazas que utilizan Log4J para intentar instalar una versión anterior de TellYouThePass”, explica Sean Gallagher, investigador de amenazas de la firma de seguridad Sophos. “Cuando detectamos estos intentos, se suspenden. TellYouThePass incluye versiones de Windows y Linux, y muchos de los intentos que hemos realizado apuntan a servidores basados en la nube en AWS y Google Cloud”.
También se ha descubierto que Khonsari, una banda de ransomware de peso medio, explota servidores Windows con Log4J. Informes La firma de seguridad BitDefender señala que el malware de pandillas es lo suficientemente pequeño como para evitar ser detectado por muchos programas antivirus.
Los actores de amenazas del estado-nación usan Log4J
Los analistas de amenazas de Microsoft han descubierto evidencia de actores de amenazas respaldados por gobiernos nacionales de países como China e Irán. El equipo de seguridad de la compañía dijo que Log4J estaba siendo explotado. “A través de una serie de grupos de trabajo del gobierno nacional rastreables que han surgido de China, Irán, Corea del Norte y Turquía.
Los ejemplos incluyen el grupo iraní Phosphorus, que usa ransomware, explota Log4J y realiza cambios. Se vio a Hafniam, un actor de amenazas que se cree que se originó en China, explotando el impacto de la infraestructura de virtualización para extender su objetivo habitual. “Hemos visto a los actores del gobierno chino e iraní mejorar esta vulnerabilidad, y esperamos que otros actores estatales hagan lo mismo o se preparen para hacer lo mismo”, dijo John Hultkist, vicepresidente y analista de inteligencia de Mandiand. “Esperamos que estos actores actúen rápidamente para poner un pie en redes deseables, lo que llevará algún tiempo. En otros casos, los objetivos deseables pueden seleccionarse después de un objetivo más amplio”.
Los corredores de acceso temprano utilizan la explotación de Log4J
Los corredores de acceso temprano que venden acceso intrusivo a las redes también se han subido al ancho de banda de Log4J. El Informe de amenazas de Microsoft afirma que “Microsoft 365 Defender Group ha confirmado que varios grupos funcionales de vigilancia que actúan como agentes de acceso han comenzado a utilizar vulnerabilidades para obtener acceso inicial a las redes de destino”.
Lewis de DarkTrace sugiere que la popularidad de esta explotación se refiere a los piratas informáticos que apuntan a aplicaciones del lado del cliente (dispositivos personales como computadoras portátiles, de escritorio y móviles) y las convierten en aplicaciones del lado del servidor. “Este último generalmente contiene información más importante y más privilegios o permisos dentro de la red”, dice. “Esta ruta de ataque está significativamente expuesta, especialmente cuando el enemigo recurre a la automatización para medir sus ataques”.
Si los líderes tecnológicos quieren estar seguros de que sus sistemas están debidamente protegidos, deben estar preparados para el ataque y el parche inevitables, agrega Lewis. “Cuando las empresas evalúan la mejor forma de prepararse para un ciberataque, al final, tienen que aceptar que los atacantes entrarán”, dice. “En lugar de intentar detener esto, deberíamos centrarnos en cómo minimizar su impacto cuando se produce una infracción”.
Reportero
Claudia Glover es reportera empleada Seguimiento técnico.
“Öğrenci. Müzik uzmanı. Hevesli problem çözücü. Zombi evangelisti. Yemek fanatiği.”