Программа-вымогатель Conti использует ошибку Log4j для взлома серверов VMware vCenter

13
5 причин использовать хостинг от Hostzealot

Программа-вымогатель Conti использует критически важный эксплойт Log4Shell для получения быстрого доступа к внутренним экземплярам VMware vCenter Server и шифрования виртуальных машин.

Банда не стала тратить много времени на внедрение нового вектора атаки и является первой «высокоуровневой» операцией, которая, как известно, использовала уязвимость Log4j в качестве оружия.

Уязвимый vCenter в прицеле

Эксплойт для проверки концепции (PoC) для CVE-2021-44228, также известный как Log4Shell и LogJam, появился в открытом доступе 9 декабря.

Днем позже началось массовое сканирование Интернета, когда несколько участников искали уязвимые системы. Среди первых, кто воспользовался этой ошибкой, были майнеры криптовалюты, ботнеты и новый штамм вымогателей под названием Khonsari.

К 15 декабря список злоумышленников, использующих Log4Shell, расширился до поддерживаемых государством хакеров и брокеров первичного доступа, которые обычно продают доступ к сети бандам вымогателей.

Conti, одна из крупнейших и наиболее плодовитых банд вымогателей на сегодняшний день, насчитывающая десятки активных постоянных членов, похоже, проявила интерес к Log4Shell на раннем этапе, рассматривая его как возможное средство атаки в воскресенье, 12 декабря.

На следующий день банда начала искать новых жертв, их целью было горизонтальное проникновение в сети VMware vCenter, киберпреступность и противодействие противоборству, компания Advanced Intelligence (AdvIntel) поделилась с BleepingComputer.

Десятки поставщиков пострадали от Log4Shell и поспешили исправить свои продукты или предоставить клиентам обходные пути и меры по их устранению. VMware — одна из них, которая перечисляет 40 уязвимых продуктов.

Несмотря на то, что компания предоставила средства защиты или исправления, исправление для затронутых версий vCenter еще не появилось.

Серверы vCenter обычно не доступны в общедоступном Интернете, есть сценарии, в которых злоумышленник может воспользоваться этой проблемой:

«Злоумышленник, имеющий сетевой доступ к затронутому продукту VMware, может использовать эту проблему, чтобы получить полный контроль над целевой системой и / или выполнить атаку отказа в обслуживании» — VMware

AdvIntel сообщает, что члены банды вымогателей Conti проявили интерес к использованию Log4Shell для своих операций с использованием общедоступного эксплойта.

Log4Shell для бокового перемещения

В отчете, предоставленном, компания отмечает, что «впервые эта уязвимость попала в поле зрения крупной группы программ-вымогателей».

«Текущая эксплуатация привела к множеству вариантов использования, с помощью которых группа Conti проверила возможности использования эксплойта Log4J» — AdvIntel

В то время как большинство защитников сосредоточены на блокировании атак Log4Shell на устройства, доступные в Интернете, операция вымогателя Conti показывает, как уязвимость может быть использована для нацеливания на внутренние устройства, которым не уделяется столько внимания.

Исследователи подтвердили, что дочерние компании Conti, занимающиеся вымогательством, уже взломали целевые сети и использовали уязвимые машины Log4j для получения доступа к серверам vCenter.

Это означает, что участники программы-вымогателя Conti полагались на другой начальный вектор доступа (RDP, VPN, фишинг электронной почты) для компрометации сети и в настоящее время используют Log4Shell для горизонтального перемещения по сети.

Conti — это русскоязычная группа, которая долгое время занимается разработкой программ-вымогателей и является преемницей печально известного Рюка.

Банда несет ответственность за сотни атак, только на ее сайте утечки данных перечислено более 600 компаний-жертв, которые не заплатили выкуп. К этому добавляются другие компании, которые заплатили актеру за расшифровку их данных.

По оценкам компании по кибербезопасности Group-IB , около 30% жертв программ-вымогателей предпочитают платить за восстановление своих файлов с помощью инструмента дешифрования злоумышленника.

Недавно Австралийский центр кибербезопасности (ACSC) опубликовал предупреждение о программе-вымогателе Conti, нацеленной на несколько организаций в стране. Одной из жертв стал поставщик электроэнергии CS Energy.

Компания Frontier Software, поставщик программного обеспечения для расчета заработной платы, используемая правительством Австралии, также пострадала от Conti , в результате чего были раскрыты данные десятков тысяч государственных служащих.

Совсем недавно BleepingComputer узнал, что банда поразила McMenamins, сеть пивоварен и отелей в Орегоне (Портленд) и Вашингтоне, США.

Программа-вымогатель Conti работает под этим именем с июня 2020 года. Согласно информации от AdvIntel, за последние шесть месяцев группа вымогала у своих жертв более 150 миллионов долларов.

Последнее обновление 8 месяцев назад — GameZoom

0 0 голоса
Рейтинг статьи
Подписаться
Уведомить о
guest

0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии