Ataques que explotan vulnerabilidad crítica de Apache Log4j 2 incluyen familias de ransomware

  • 24/12/2021
  • 136
Ataques que explotan vulnerabilidad crítica de Apache Log4j 2 incluyen familias de ransomware

Desde hace días la comunidad internacional de la ciberseguridad ha dado seguimiento a los intentos de explotación de la vulnerabilidad crítica CVE-2021-44228 de Apache Log4j 2. Resultan relevantes las noticias asociadas a un ataque WebSocket de JavaScript recién descubierto, los actores de amenazas que inyectan a los mineros de criptomonedas a través de la invocación de método remoto, y las familias de ransomware Khonsari, TellYouThePass y Conti.

JavaScript WebSocket:
La empresa de seguridad Blumira ha descubierto un posible ataque alternativo contra la vulnerabilidad Log4J utilizando una conexión JavaScript WebSocket para activar la ejecución remota de código en aplicaciones Log4j sin parchear internas y localmente expuestas. WebSockets es un protocolo de comunicaciones informáticas que proporciona canales de comunicación full-duplex a través de una única conexión TCP, lo que permite abrir una sesión de comunicación interactiva bidireccional entre el navegador del usuario y un servidor. Se utilizan comúnmente para aplicaciones como chat y alertas en sitios web. Este vector de ataque, recientemente descubierto, implica que cualquier persona con una versión vulnerable de Log4j en su máquina o red privada local puede navegar por un sitio web y potencialmente "activar la vulnerabilidad".

Khonsari: 
Este ransomware se dirige a los sistemas Windows y ha sido confirmado por empresas de ciberseguridad, incluida Microsoft. John Hammond, investigador de seguridad de Huntress, dijo que al explorar la muestra de ransomware Khonsari valida los mismos hallazgos de Bitdefender y Cado Security. El código Java ejecutado por el exploit Log4j llega a un dominio externo, descargando un ejecutable para implementar ransomware. El ejecutable es un ensamblado de C # ligeramente ofuscado, que los profesionales de la seguridad pueden examinar con herramientas de código abierto. Se llama Khonsari porque agrega la extensión .khonsari a los archivos que cifra. Sobre el cifrado de la unidad C:\, los expertos mencionan que este es un proceso más especializado, ya que el malware solamente cifra directorios específicos, que almacenan documentos, imágenes, videos y descargas. Los archivos son cifrados usando el algoritmo AES 128 CBC.

TellYouThePass:
Es una familia antigua de ransomware que volvió a ser noticia recientemente, al intentar explotar la vulnerabilidad de Log4Shell. Aunque se afirma que TellYouThePass está dirigido principalmente contra objetivos en China, un investigador de Sophos expresó que se ha visto entregas del ransomware además en Estados Unidos y Europa. Expertos de CronUP confirmaron que el ransomware tiene una versión de Linux para recopilar claves SSH y moverse lateralmente dentro de las redes de las víctimas.

Conti:
Fue visto por primera vez en entre octubre y diciembre de 2019 y opera como un Ransomware as a Service (RaaS, por sus siglas en ingles). Esto significa que los desarrolladores ofrecen el ransomware en foros clandestinos para reclutar afiliados, que son quienes se ocupan de la distribución de la amenaza a cambio de un porcentaje de las ganancias obtenidas por el pago de los rescates. Conti suele utilizar la modalidad doble extorsión, también conocida como doxing, que consiste en exfiltrar información confidencial de sus víctimas previo al cifrado para luego extorsionarlas amenazándolas con publicar información exfiltrada a menos que paguen el monto de dinero exigido. De esta forma aumentan la presión, ya que no solo se trata de recuperar los archivos cifrados, sino también de evitar una posible brecha de información que podría perjudicar a la víctima de diversas maneras; por ejemplo, dañando su reputación. Investigadores de la firma de seguridad Advanced Intelligence han descubierto que el grupo de ransomware Conti a explotado las instancias de VMware vCenter Server a través de las vulnerabilidades de Log4j. AdvIntel dijo que la explotación actual "llevó a múltiples casos de uso a través de los cuales el grupo Conti probó las posibilidades de utilizar el exploit Log4J2". VMware emitió un aviso de seguridad que contiene correcciones para sus productos vulnerables al problema de Log4J, incluido vCenter, recomendando el parcheo inmediato de los sistemas, especialmente aquellos con conexión a Internet.

Otras amenazas:
El fabricante de soluciones de seguridad Fortinet ha publicado que ha visto otros malwares y aplicaciones no deseadas relacionados con la explotación de Log4Shell tales como Kinsing, Mirai, Elknot, m8220, Muhstik, Orcus RAT (Remote Access Trojan), XMRig y Nanocore RAT. En particular, los investigadores de Cisco Talos vieron intentos de explotar Log4j que resultaron en conexiones a servidores Cobalt Strike maliciosos previamente conocidos, una táctica común tanto para los operadores de ransomware como para algunos actores patrocinados por el estado. Cobalt Strike es una herramienta popular utilizada para piratería maliciosa, que permite actividades como reconocimiento remoto y movimiento lateral. Varias compañías de seguridad han registrado múltiples variantes de malware intentando explotar la vulnerabilidad CVE-2021-44228, desde mineros de criptomonedas, troyanos, así como herramientas como Meterpreter para realizar pruebas de pentesting.

Recomendaciones:

  • Identificar los sistemas vulnerables en su organización y aplicar inmediatamente las actualizaciones correspondientes.
  • Mantener actualizados los sistemas de detección con relación a los Indicadores de Compromiso relacionados con la explotación de la vulnerabilidad.


Referencias:

  • https://www.blumira.com/analysis-log4shell-local-trigger/
  • https://www.blumira.com/how-to-detect-log4j-ransomware/
  • https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Ransom:MSIL/Khonsari.A&threatId=-2147159485
  • https://www.microsoft.com/security/blog/2021/12/11/guidance-for-preventing-detecting-and-hunting-for-cve-2021-44228-log4j-2-exploitation/
  • https://news.sophos.com/en-us/2021/12/20/logjam-log4j-exploit-attempts-continue-in-globally-distributed-scans-attacks/
  • https://cyware.com/news/old-tellyouthepass-ransomware-abuses-log4shell-flaw-38a25ad1
  • https://www.fortinet.com/blog/threat-research/critical-apache-log4j-log4shell-vulnerability-what-you-need-to-know
  • https://www.cisa.gov/uscert/apache-log4j-vulnerability-guidance
  • https://github.com/curated-intel/Log4Shell-IOCs