Οι εγκληματίες του κυβερνοχώρου επανέφεραν μια παλιά και σχετικά ανενεργή “οικογένεια ransomware“, γνωστή ως TellYouThePass, που στοχεύει Windows και Linux συσκευές, χρησιμοποιώντας την κρίσιμη ευπάθεια στο Apache Log4j library. Οι επιθέσεις με το TellYouThePass ransomware έγιναν γνωστές την περασμένη Δευτέρα. Ερευνητές παρατήρησαν επιθέσεις σε παλιά Windows συστήματα, που χρησιμοποιούσαν exploits που καταχρώνται την ευπάθεια στο Log4j (επίσημα γνωστή ως CVE-2021-44228 ή Log4Shell).
Μάθετε περισσότερα: Log4j: Σφοδρή ευπάθεια πλήττει το διαδίκτυο [UPDATE]
Σύμφωνα με ερευνητές, οι επιθέσεις ransomware TellYouThePass που εντοπίστηκαν, χρησιμοποιούσαν Log4Shell exploits και επηρέαζαν κυρίως στόχους με έδρα την Κίνα.
Όπως ανακάλυψαν οι ειδικοί, το ransοmware έχει και μια έκδοση Linux που συλλέγει SSH keys και κινείται laterally στα δίκτυα των θυμάτων.
“Αξίζει να σημειωθεί ότι δεν είναι η πρώτη φορά που το ransomware Tellyouthepass χρησιμοποιεί κρίσιμες ευπάθειες για να πραγματοποιήσει επιθέσεις“, ανέφεραν οι ερευνητές της Sangfor. Νωρίτερα, είχε χρησιμοποιήσει τις ευπάθειες Eternal Blue για να επιτεθεί σε πολλούς οργανισμούς.
Δείτε επίσης: Lenovo laptops είναι ευάλωτα σε bugs που επιτρέπουν εκτέλεση εντολών με admin privileges
Άλλοι ερευνητές ασφαλείας έχουν, επίσης, αναλύσει ένα από τα δείγματα ransomware που αναπτύχθηκαν σε αυτές τις επιθέσεις και είπαν ότι “πιθανότατα ανήκει” στην οικογένεια TellYouThePass.
Σύμφωνα με τα στατιστικά στοιχεία στην υπηρεσία ID Ransοmware, η δραστηριότητα του ransomware TellYouThePass έχει δει μια τεράστια και ξαφνική άνοδο μετά την κυκλοφορία Log4Shell proof-of-concept exploits στο διαδίκτυο.
Ransomware συμμορίες άρχισαν να χρησιμοποιούν την ευπάθεια στο Log4j
Το TellYouThePass δεν είναι το πρώτο ransomware που εκμεταλλεύεται την ευπάθεια Log4Shell στο Log4j, για να πραγματοποιήσουν επιθέσεις. Η ευπάθεια έχει ήδη χρησιμοποιηθεί από άλλα ransοmware αλλά και από άλλα malware, όπως cryptominers, botnets κλπ.
Μάθετε περισσότερα: Log4Shell ευπάθεια: Hackers τη χρησιμοποιούν ήδη για malware επιθέσεις
Η BitDefender ανέφερε αρχικά ότι βρήκε μια νέα οικογένεια ransοmware (κάποιοι θεωρούν ότι είναι wiper), την οποία ονόμασαν Khonsari. Το ransomware εγκαθίσταται στα συστήματα απευθείας μέσω Log4Shell exploits.
Επίσης, αναφορές δείχνουν ότι και οι χειριστές του Conti ransomware έχουν προσθέσει ένα Log4Shell exploit στο “οπλοστάσιό” τους για να εξαπλώνονται μέσα στα δίκτυα των στόχων, να αποκτούν πρόσβαση σε VMware vCenter Server instances και να κρυπτογραφούν virtual machines.
Η CISA έχει αναγνωρίζει ότι η ευπάθεια είναι πολύ κρίσιμη και προειδοποιήσει τους οργανισμούς να ενημερώσουν τα συστήματά τους.
Πηγή: Bleeping Computer