Cibercriminosos estão usando a falha Log4j em ataques ransomware, alerta Microsoft

Hackers baseados na China estão se aproveitando da falha Log4j como parte de ataques cibernéticos com extorsão dupla. A Microsoft confirmou que os cibercriminosos estão visando a falha “Log4Shell” no produto Horizon, da VMware, para instalar o NightSky, uma nova variedade de ransomware que surgiu em 27 de dezembro, de acordo com o site ZDNet.

Os ataques de ransomware com motivação financeira têm como alvo o CVE-2021-44228, a falha original do Log4Shell divulgada em 9 de dezembro.

“Pela natureza do Log4j ser um componente, as vulnerabilidades afetam não apenas os aplicativos que usam bibliotecas vulneráveis, mas também quaisquer serviços que usam esses aplicativos, de modo que os clientes podem não saber imediatamente a extensão do problema em seu ambiente”, diz a Microsoft em comunicado publicado nesta segunda-feira (10).

“Em janeiro, começamos a ver invasores aproveitando as vulnerabilidades em sistemas voltados para a Internet, eventualmente implantando ransomware. Observamos muitos invasores existentes adicionando explorações dessas vulnerabilidades em seus kits e táticas de malware existentes, de mineradores de moedas a ataques práticos”.

Na semana passada, um relatório do braço digital do Serviço Nacional de Saúde do Reino Unido (NHS) já disse que os invasores estão visando o software de servidor Horizon da VMware que usa versões vulneráveis do Log4j. O relatório, segundo o ZDNet, observou que os invasores instalaram um arquivo Java malicioso que injeta um shell da Web no serviço VM Blast Secure Gateway, mas não indicou se o ransomware foi implantado.

O caso demonstra as dificuldades que os administradores enfrentam para identificar os sistemas afetados pelo Log4j, diz o site.

De acordo com a VMware, os componentes locais vulneráveis incluem o Connection Server e o HTML Access, o Horizon Windows Agent, o Linux Agent, o Linux Agent Direct Connect, o Cloud Connector e o vRealize Operations for Desktop Agent.

A VMware lançou versões atualizadas ou forneceu soluções alternativas de mitigação com script.

Os ataques são realizados por um operador de ransomware baseado na China que a Microsoft afirma estar rastreando como DEV-0401. O DEV-0401 já implantou várias famílias de ransomware, incluindo LockFile, AtomSilo e Rook, e explorou de forma semelhante sistemas voltados para a Internet executando o Confluence (CVE-2021-26084) e servidores Exchange locais (CVE-2021-34473), segundo a empresa.

De acordo com a BleepingComputer, pesquisadores de malware da MalwareHunterTeam identificaram o NightSky como um novo grupo de ransomware em 27 de dezembro. No entanto, Jiří Vinopal, analista tcheco, argumenta que o NightSky é apenas uma nova versão do Rook ransomware com algumas mudanças importantes no design e criptografia, incluindo que o NightSky é entregue como um arquivo VMProtect, diz a publicação.

O BleepingComputer observa que o NightSky está usando “extorsão dupla”, em que o invasor criptografa e rouba os dados da vítima e depois ameaça vazar os dados se o resgate não for pago.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) disse na segunda-feira que não viu a exploração do Log4Shell resultar em invasões significativas além do ataque ao Ministério da Defesa belga. No entanto, alertou que a falta de intrusões significativas não era motivo para reduzir a urgência de remediação. Além disso, empresas que não aplicarem os patches disponíveis, podem sofrer penalidades no caso de exposição de dados de consumidores.

“Os clientes são incentivados a utilizar scripts e ferramentas de varredura para avaliar seu risco e impacto. A Microsoft observou invasores usando muitas das mesmas técnicas de inventário para localizar alvos. Adversários sofisticados (como atores de Estado-Nação) e invasores de commodities foram observados aproveitando essas vulnerabilidades. Há um alto potencial para o uso expandido das vulnerabilidades”, alerta a Microsoft.

Com informações de ZDNet