Versuchter Log4j-Exploit in 44 % der Unternehmensnetzwerke; Überwachen Sie die Ransomware-Nutzlasten

Hören Sie auf dem Future of Work Summit am 12. Januar 2022 von CIOs, CIOs und anderen Top-Führungskräften auf C-Ebene sowie Chief Data und AI Strategen. Lern mehr


Cyber-Sicherheitsforscher sagten, dass Cyber-Angreifer, die die weit verbreitete Schwachstelle in Apache Log4j ausnutzen wollten, ihre Reichweite weiter vergrößerten und begannen, potenziell gefährlichere Angriffe wie Ransomware zu starten.

Forscher des Cybersicherheitsriesen Check Point gaben heute bekannt, dass sie Versuche beobachtet haben, die Log4j-Sicherheitslücke, bekannt als Log4Shell, in mehr als 44 % der Unternehmensnetzwerke weltweit auszunutzen. Das ist laut Check Point am Vortag um 40% gestiegen.

Matthew Prince, CEO von Cloudflare, sagte am Dienstagmorgen auf Twitter diese ‘Nutzlasten’ [are] Erschrecken Sie. Die Ransomware-Ladungen sind in den letzten 24 Stunden wirksam geworden.“ Cloudflare lehnte eine weitere Stellungnahme ab.

Ransomware erkannt

Unterdessen hat das Online-Unternehmen Bitdefender berichtet, dass es Versuche entdeckt hat, eine Ransomware-Nutzlast gegen Windows zu verbreiten, indem es die Log4j-Sicherheitslücke ausnutzt.

Der Angreifer versuchte, eine neue Ransomware-Familie namens Khonsari auf dem Namen der Erweiterung zu installieren, die in den verschlüsselten Nutzdatendateien enthalten ist. Während Bitdefender mehrere Versuche gesehen hat, diese Ransomware zu verbreiten, sagte Martin Zugec, Director of Technology Solutions bei Bitdefender, in einer E-Mail: “Khonsari ist derzeit nicht weit verbreitet.”

Andere Bedrohungsforscher teilten VentureBeat mit, dass sie noch keine Ransomware-Nutzlasten bemerkt hatten, die die Log4j-Sicherheitslücke ausnutzten.

“Wir haben nicht unbedingt eine direkte Verbreitung von Ransomware gesehen, aber es ist nur eine Frage der Zeit”, sagte Nick Biasini, Kommunikationschef bei Cisco Talos, in einer E-Mail. “Dies ist eine hochriskante Schwachstelle, die in unzähligen Produkten zu finden ist. Die Zeit, die benötigt wird, um alles selbst zu patchen, wird es verschiedenen Bedrohungsgruppen ermöglichen, diese bei einer Vielzahl von Angriffen, einschließlich Ransomware, auszunutzen.”

Check Point sagte, es habe keine Ransomware-Versuche im Zusammenhang mit Log4j bemerkt, aber Unternehmenssprecher Ikram Ahmed sagte, das Unternehmen halte Ransomware-Angriffe für „sehr wahrscheinlich“.

Aparna Rayasam, General Manager of Application Security des Unternehmens, sagte, Akamai habe festgestellt, dass Angreifer versuchen, Windows-Rechner anzugreifen und Tools zur Rechteausweitung wie winPEAS einzusetzen.

„Dies ist die Grundlage, um Aktivitäten wie Ransomware zu ermöglichen“, sagte Raisem in einer E-Mail. „Von allen bisher beobachteten Angriffen scheint jedoch nur ein kleiner Prozentsatz mit Ransomware in Zusammenhang zu stehen.

Weitere aggressive Angriffe kommen

In ihrem Blog-Update vom Dienstag berichteten Check Point-Forscher, dass sie einen Malware-Angriff verfolgen, der auf eine IP-Adresse in den USA zurückgeführt wurde, die bösartige Dateien wie Crypto Miner und Cobalt Strike hostet. Das Tool Cobalt Strike ist bei Ransomware-Banden für Aktivitäten wie Fernüberwachung und seitliche Bewegungen beliebt, und Microsoft hat zuvor berichtet, dass das Tool in Verbindung mit dem Log4j-Exploit installiert wurde.

Matt Olney, Director of Threat Intelligence and Interdiction bei Cisco Talos, sagte am Montag, dass das Unternehmen in den letzten Tagen einen Anstieg der bösartigen Cobalt-Strike-Server verzeichnet habe, die online gehen.

„Abgesehen von den anhaltenden Versuchen, Miner und Mining-Netzwerke auszuschalten, erleben wir eine relativ ruhige Phase im Vergleich zur ersten Untersuchung von Schwachstellen, die wir am Wochenende gesehen haben“, sagte Sean Gallagher, Chief Threat Researcher bei Sophos, heute gegenüber VentureBeat.

“Aber aufgrund der bisherigen Erfahrungen mit Schwachstellen wie Log4j erwarten wir, dass aggressivere Angriffe folgen werden”, sagte Gallagher in einer E-Mail. Dazu gehören Bemühungen, Zugang zu schwachen Datendiebstahlsystemen zu erhalten oder Hintertüren zu schaffen, um langfristigen Informationsdiebstahl durch Spione, Zugangsmakler (die die Hintertür an andere verkaufen) und andere Cyberkriminelle zu ermöglichen. Und zu diesen anderen Kriminellen werden unweigerlich Ransomware-Banden gehören.“

weit verbreiteter Defekt

Log4j ist eine Open-Source-Logging-Bibliothek, die in Unternehmenssoftware und Cloud-Diensten weit verbreitet ist. Viele in Java geschriebene Anwendungen und Dienste sind potenziell anfällig für Log4Shell, das die Remotecodeausführung durch nicht authentifizierte Benutzer ermöglichen kann.

Der Fehler wird aufgrund der weit verbreiteten Verwendung von Log4j und weil die Schwachstelle als einfach auszunutzen gilt als sehr gravierend angesehen. Die Erkennung und Verarbeitung wird dadurch erschwert, dass ein Großteil der Nutzung von Log4j indirekt erfolgt – wobei die Protokollierungsbibliothek in Java-Frameworks wie Apache Struts 2, Apache Solr und Apache Druid verwendet wird.

Interne Untersuchungen von Wiz zeigen, dass über 89 % aller Umgebungen anfällige Log4j-Bibliotheken aufweisen. Die Schwachstelle Log4Shell wurde am späten Donnerstag aufgedeckt.

Malware, die Log4Shell ausnutzt, verbreitet sich seit Tagen. Forscher berichten, dass sie die Verwendung von Mirai- und Muhstik-Netzwerken zur Verbreitung von Distributed Denial of Service (DDoS)-Angriffen sowie zur Verbreitung von Krypto-Mining-Kinsing-Malware beobachtet haben. Cisco Talos berichtete heute, dass es E-Mail-basierte Angriffe beobachtet hat, die versuchen, Log4Shell auszunutzen.

Reihe von Angriffen

Neben der Khonsari-Ransomware hat Bitdefender auch über Versuche gemeldet, den Fernzugriffs-Trojaner Orcus, Muhstik-Botnets und Bash-Reversal-Shells für zukünftige Angriffe sowie erfolgreiche Miner-Angriffe zu verbreiten. Zugec sagte gegenüber VentureBeat, dass die Telemetrie des Unternehmens insgesamt 7.000 Angriffsversuche basierend auf der Log4j-Schwachstelle gefunden habe.

Zum Zeitpunkt der Veröffentlichung dieses Artikels ist nicht öffentlich bekannt, welche Ransomware-Gruppen die Log4j-Sicherheitslücke ausgenutzt haben, um einen Ransomware-Angriff zu verbreiten. Im Zuge des Ransomware-Angriffs auf das Personalsoftware-Unternehmen Kronos am Samstag gibt es laut einem heutigen Firmen-Update derzeit “keinen Hinweis” auf eine Verbindung zur Log4j-Schwachstelle. Das Unternehmen teilte jedoch mit, die Möglichkeit zu untersuchen.

Sowohl Kronos als auch die gesetzgebende Körperschaft von Virginia, die den Ransomware-Angriff vom Freitag miterlebten, sind dafür bekannt, Java zu verwenden oder über Lizenzen zu verfügen, berichtet Ars Technica. Ein Sprecher der gesetzgebenden Körperschaft Virginias war am Dienstag nicht zu erreichen.

VentureBeat

Die Mission von VentureBeat ist es, die digitale Stadtarena für technische Entscheidungsträger zu sein, um Wissen über transformative Technologien und Transaktionen zu erlangen. Unsere Website bietet wichtige Informationen zu Datentechnologien und -strategien, die Sie bei der Führung Ihrer Organisationen unterstützen. Wir laden Sie ein, Mitglied unserer Community zu werden, um Zugang zu erhalten:

  • Aktualisierte Informationen zu Themen, die Sie interessieren
  • Unsere Newsletter
  • Klassifizierte Inhalte für einen Vordenker und ermäßigter Zugang zu unseren preisgekrönten Veranstaltungen, wie z Konvertieren 2021: Lern ​​mehr
  • Netzwerkfunktionen und mehr

Mitglied werden

William

Leave a Reply

Your email address will not be published.