Οι διακομιστές Apache ActiveMQ που είναι προσβάσιμοι μέσω διαδικτύου αντιμετωπίζουν επιθέσεις από το TellYouThePass ransomware, το οποίο καταπιάνεται με μια κρίσιμη ευπάθεια εκτέλεσης απομακρυσμένου κώδικα (RCE) που έχει εκμεταλλευτεί προηγουμένως ως zero-day.
Δείτε επίσης: Cerber ransomware: Εκμεταλλεύεται ένα σοβαρό σφάλμα του Atlassian Confluence
Το CVE-2023-46604 αντιπροσωπεύει ένα σοβαρό σφάλμα στο ActiveMQ. Αυτό το σφάλμα επιτρέπει σε μη ταυτοποιημένους επιτιθέμενους να εκτελούν αυθαίρετες εντολές κελύφους σε ευάλωτους διακομιστές. Πρόκειται για ένα σοβαρό πρόβλημα που απαιτεί προσοχή και δράση για την αντιμετώπισή του.
Παρόλο που η Apache έχει εκδόσει ενημερώσεις ασφαλείας για να διορθώσει την ευπάθεια στις 27 Οκτωβρίου, οι εταιρείες κυβερνοασφάλειας ArcticWolf και Huntress Labs ανακάλυψαν ότι κακόβουλοι χρήστες εκμεταλλεύτηκαν αυτή την ευπάθεια ως zero-day για να εγκαταστήσουν το malware SparkRAT για περισσότερες από δύο εβδομάδες, από τις 10 Οκτωβρίου τουλάχιστον.
Σύμφωνα με τα δεδομένα της υπηρεσίας παρακολούθησης απειλών ShadowServer, υπάρχουν περισσότεροι από 9.200 online διακομιστές Apache ActiveMQ που εκτίθενται αυτή τη στιγμή. Από αυτούς, περισσότεροι από 4.770 είναι ευάλωτοι στις εκμεταλλεύσεις του CVE-2023-46604.
Καθώς το Apache ActiveMQ χρησιμοποιείται ως μεσολαβητής μηνυμάτων σε επιχειρηματικά περιβάλλοντα, η εφαρμογή ενημερώσεων ασφαλείας πρέπει να θεωρείται προτεραιότητα λόγω της επείγουσας φύσης του θέματος. Συνιστάται στους διαχειριστές να ενημερώνουν άμεσα όλα τα ευπαθή συστήματα μέσω αναβαθμίσεων στις εκδόσεις ActiveMQ 5.15.16, 5.16.7, 5.17.6 και 5.18.3.
Μια εβδομάδα μετά την επιδιόρθωση αυτής της κρίσιμης ευπάθειας του ActiveMQ από το Apache, οι εταιρείες Huntress Labs και Rapid7 ανέφεραν και οι δύο ότι εντόπισαν επιτιθέμενους που εκμεταλλεύονταν το σφάλμα για να εγκαταστήσουν φορτία HelloKitty ransomware στα δίκτυα των πελατών.
Δείτε ακόμα: Αυξανόμενες Ransomware επιθέσεις ανησυχούν τις ΗΠΑ
Οι επιθέσεις που παρατηρήθηκαν από τους ερευνητές ασφάλειας των εταιρειών κυβερνοασφάλειας ξεκίνησαν στις 27 Οκτωβρίου, μόλις λίγες μέρες μετά την κυκλοφορία ενημερώσεων ασφαλείας από την Apache.
Η Arctic Wolf Labs αποκάλυψε σε μία αναφορά που δημοσιεύθηκε μία ημέρα αργότερα, ότι κακόβουλοι δράστες εκμεταλλεύονται ενεργά το ελάττωμα CVE-2023-46604 και το χρησιμοποιούν για αρχική πρόσβαση σε επιθέσεις που στοχεύουν συστήματα Linux και εξαπλώνουν τον ιό ransomware TellYouThePass.
Οι ερευνητές ασφαλείας εντόπισαν επίσης ομοιότητες μεταξύ των επιθέσεων HelloKitty και TellYouThePass, καθώς και κοινή “διεύθυνση ηλεκτρονικού ταχυδρομείου, υποδομή, καθώς και διευθύνσεις πορτοφολιού Bitcoin“.
Το ransomware TellYouThePass έχει δει μια μαζική και απότομη άνοδο στη δραστηριότητά του μετά τη δημοσιοποίηση των εκμεταλλεύσεων του Log4Shell πριν από δύο χρόνια. Με την επιστροφή του ως κακόβουλο λογισμικό που έχει μεταγλωττιστεί σε Golang τον Δεκέμβριο του 2021, η ποικιλία του ransomware πρόσθεσε επίσης δυνατότητες επίθεσης σε πολλές πλατφόρμες, καθιστώντας δυνατή την επίθεση σε συστήματα Linux και macOS (τα δείγματα για macOS δεν έχουν ανιχνευθεί ακόμα στον ανοιχτό χώρο).
Δείτε επίσης: Οι χάκερ έχουν κρυπτογραφήσει τα data στο 75% των επιθέσεων Ransomware στον Ιατροφαρμακευτικό Τομέα
Το TellYouThePass ransomware είναι ένας κακόβουλος κώδικας που χρησιμοποιείται για να κρυπτογραφήσει τα αρχεία των θυμάτων του και να απαιτήσει λύτρα για την αποκρυπτογράφησή τους. Οι επιθέσεις RCE (Remote Code Execution) αποτελούν μια από τις μεθόδους που χρησιμοποιεί αυτό το ransomware για να εισβάλει στο σύστημα των θυμάτων. Ας ρίξουμε μια ματιά στην ιστορία και το υπόβαθρο του TellYouThePass ransomware.
Το TellYouThePass ransomware εμφανίστηκε για πρώτη φορά το 2019 και από τότε έχει προκαλέσει σοβαρές επιπτώσεις σε πολλούς οργανισμούς και χρήστες σε όλο τον κόσμο. Οι επιθέσεις RCE που χρησιμοποιεί το TellYouThePass ransomware επιτρέπουν στους εισβολείς να αποκτήσουν απομακρυσμένη πρόσβαση και να εκτελέσουν κακόβουλο κώδικα στον υπολογιστή των θυμάτων.
Οι δημιουργοί του TellYouThePass ransomware διακινδυνεύουν την ασφάλεια και την ιδιωτικότητα των θυμάτων τους, καθώς απαιτούν μεγάλα ποσά χρημάτων για την αποκρυπτογράφηση των αρχείων. Επιπλέον, οι επιθέσεις RCE είναι εξαιρετικά επικίνδυνες, καθώς επιτρέπουν στους εισβολείς να έχουν πλήρη έλεγχο του συστήματος και να προκαλέσουν μεγάλη ζημιά.
Πηγή: bleepingcomputer
