Falha Log4J já está sendo usada em ataques de ransomware

Falha Log4J já está sendo usada em ataques de ransomware

Por Felipe Demartini | Editado por Claudio Yuge | 15 de Dezembro de 2021 às 21h20
Divulgação/Debricked

Pesquisadores de segurança digital identificaram nesta terça-feira (14) o primeiro caso de ransomware sendo aplicado por meio da falha Log4J, descoberta no final de semana. O ataque também revelou uma nova família de praga focada em sequestro digital, chamada Khonsari, mas esse primeiro incidente não parece ter como objetivo o ganho financeiro, quando se considera o alvo atingido e, também, a ausência de meios de contato com os atacantes.

Seja como for, é um sinal de alerta a mais para a comunidade de segurança, na medida em que se espalham pelo mundo os ataques relacionados à falha em um sistema de registro de aplicações Java. A partir dele, sem credenciais ou outros meios de intrusão, é possível executar códigos maliciosos e acessar servidores remotos que, neste caso, baixaram e instalaram o ransomware responsável pelo travamento dos sistemas.

Chamou a atenção dos especialistas, entretanto, o fato de tanto o título do ransomware quanto as informações de contato pertencerem a uma loja de antiguidades no estado americano da Lousiana. Não se sabe, por exemplo, se essa foi a primeira vítima, e a ideia de que não existe um meio legítimo de negociar e, principalmente, pagar os criminosos responsáveis seria um indicativo de que a exploração se trata de um teste (bem-sucedido, diga-se de passagem).

Nota de ransomware deixada em caso envolvendo a exploração Log4J; criminosos não deixaram meios de contato e pagamento de resgate, indicando preparo para novos ataques (Imagem: Reprodução/Bleeping Computer)

O alerta foi dado inicialmente pela BitDefender, que também indicou o uso da vulnerabilidade Log4J para entrega de trojans de acesso remoto Orcus, que também poderiam ser usados em novas explorações com ransomware e outras pragas. Ainda, uma apuração do site Bleeping Computer aponta detecções de uso da abertura para entrega de sinais Cobalt Strike, também com o mesmo intuito.

Os incidentes relacionados à brecha, descoberta no último final de semana, e vem se espalhando de forma vertiginosa por todo o mundo. De acordo com as informações mais atualizadas da Check Point, empresa especializada em segurança digital, já foram mais de 1,8 milhão de tentativas de explorar a vulnerabilidade, com 46% das redes corporativas de todo o mundo sendo impactadas. Mais da metade dos incidentes, também, veio de atores de ameaça conhecidos.

A recomendação é de atualização de todo e qualquer sistema que tenha o recurso de registro implementado, mas isso pode não ser tão simples assim, tanto devido à popularidade da solução de código aberto quanto à sua presença em plataformas altamente customizadas. Ainda assim, o caminho é a realização de auditorias de software para encontrar possíveis pontos de entrada e o uso de aplicações de segurança que ajudam a identificar aberturas e mitigar ataques.

Fonte: BitDefender, Bleeping Computer

Gostou dessa matéria?

Inscreva seu email no Canaltech para receber atualizações diárias com as últimas notícias do mundo da tecnologia.