В Linux возродился вымогатель TellYouThePass

4
Ошибка системной службы Linux дает root права на все основные дистрибутивы, выпущен эксплойт

Злоумышленники возродили старое и относительно неактивное семейство программ-вымогателей, известных как TellYouThePass, развернув их для атак на устройства Windows и Linux, нацеленных на критическую ошибку удаленного выполнения кода в библиотеке Apache Log4j.

Хейге из команды KnownSec 404 впервые сообщил об этих атаках в Twitter в понедельник после того, как заметил, что программа-вымогатель была сброшена на старые системы Windows с использованием эксплойтов, злоупотребляющих уязвимостью, отслеживаемой как CVE-2021-44228 и известной как Log4Shell.

Отчет Heige был подтвержден Sangfor Threat Intelligence Team, который успешно захватил один из образцов вымогателей TellYouThePass развернутых в атаках с использованием Log4Shell эксплойтов главным образом воздействуя китайские цели, в соответствии с куратором разведки.

Как они позже выяснили (выводы, которые также подтвердил Херман Фернандес из CronUP ), у программы-вымогателя есть версия для Linux, которая собирает ключи SSH и перемещается по сетям жертв.

«Стоит отметить, что это не первый случай, когда программа-вымогатель Tellyouthepass использовала высокорисковые уязвимости для запуска атак», — заявили исследователи Sangfor. «Еще в прошлом году он использовал уязвимости Eternal Blue для атаки на несколько подразделений».

Другие исследователи безопасности также проанализировали один из образцов программ-вымогателей, использованных в этих атаках, и пометили его как «вероятно принадлежащий» семейству TellYouThePass.

Согласно статистике, предоставленной службой ID Ransomware, программа-вымогатель TellYouThePass продемонстрировала массовый и внезапный всплеск активности после того, как в сети были опубликованы экспериментальные эксплойты Log4Shell.

Log4Shell используется в атаках программ-вымогателей

TellYouThePass — не первый штамм программ-вымогателей, развернутый в атаках Log4Shell, поскольку финансово мотивированные злоумышленники начали внедрять майнеры Monero в скомпрометированные системы, а поддерживаемые государством хакеры начали использовать его, чтобы создать плацдарм для последующей деятельности.

BitDefender сначала сообщил, что они обнаружили новое семейство программ-вымогателей (некоторые пометили его как вайпер), которые они назвали Khonsari, и устанавливаются непосредственно с помощью эксплойтов Log4Shell.

Команда Microsoft 365 Defender Threat Intelligence также заметила, что полезные нагрузки вымогателя Khonsari сбрасываются на собственные серверы Minecraft.

И последнее, но не менее важное: операторы программ-вымогателей Conti также добавили в свой арсенал эксплойт Log4Shell для горизонтального перемещения через целевые сети, получения доступа к экземплярам VMware vCenter Server и шифрования виртуальных машин.

Из новостей по теме, CISA приказал агентствам федеральной гражданской исполнительной власти сегодня исправить свои системы против уязвимости Log4Shell в течение следующих шести дней, до 23 декабря.

Агентство по кибербезопасности также недавно добавило недостаток в свой Каталог известных эксплуатируемых уязвимостей, который также требует ускоренных действий со стороны федеральных агентств для устранения ошибки до 24 декабря.

Последнее обновление 8 месяцев назад — GameZoom

0 0 голоса
Рейтинг статьи
Подписаться
Уведомить о
guest
0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии