La società rumena di tecnologia di sicurezza informatica Bitdefender ha rivelato lunedì che si stanno tentando di prendere di mira le macchine Windows con una nuova famiglia di ransomware chiamata Khonsari e un trojan di accesso remoto chiamato Orcus sfruttando la vulnerabilità critica di Log4j recentemente divulgata .
L'attacco sfrutta il difetto di esecuzione di codice remoto (RCE) per scaricare un payload aggiuntivo, un binario .NET, da un server remoto che crittografa tutti i file con estensione ".khonsari" e visualizza una richiesta di riscatto che esorta le vittime a fare un Pagamento in bitcoin in cambio del recupero dell'accesso ai file.
Tracciata come CVE-2021-44228 , la vulnerabilità RCE è anche nota con i moniker "Log4Shell" o "Logjam" e influisce sulle versioni da 2.0-beta9 a 2.14.1 della libreria del software. In parole povere, il bug potrebbe costringere un sistema interessato a scaricare software dannoso, fornendo agli aggressori una testa di ponte digitale sui server situati all'interno delle reti aziendali.
Log4j è una libreria Java open source gestita dall'organizzazione no profit Apache Software Foundation. Accumulando circa 475.000 download dal suo progetto GitHub e ampiamente adottata per la registrazione degli eventi delle applicazioni, l'utilità fa anche parte di altri framework, come Elasticsearch, Kafka e Flink, utilizzati in molti siti Web e servizi popolari.
La divulgazione arriva quando la Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti ha lanciato un allarme di sfruttamento attivo e diffuso del difetto che, se non affrontato, potrebbe garantire un accesso illimitato e scatenare una nuova serie di attacchi informatici, come ricaduta del bug ha lasciato le aziende che si affrettano a trovare e correggere le macchine vulnerabili.
"Un avversario può sfruttare questa vulnerabilità inviando una richiesta appositamente predisposta a un sistema vulnerabile che fa sì che quel sistema esegua codice arbitrario", ha affermato l'agenzia in una guida pubblicata lunedì. "La richiesta consente all'avversario di assumere il pieno controllo del sistema. L'avversario può quindi rubare informazioni, lanciare ransomware o condurre altre attività dannose".
Inoltre, CISA ha anche aggiunto la vulnerabilità Log4j al suo catalogo delle vulnerabilità sfruttate , dando alle agenzie federali una scadenza del 24 dicembre per incorporare le patch per il difetto. Avvisi simili sono stati precedentemente emessi da agenzie governative in Austria , Canada , Nuova Zelanda e Regno Unito .
Finora, i tentativi di sfruttamento attivo registrati in natura hanno comportato l'abuso del difetto per legare i dispositivi a una botnet e rilasciare carichi utili aggiuntivi come Cobalt Strike e minatori di criptovaluta. La società di sicurezza informatica Sophos ha affermato di aver anche osservato tentativi di esfiltrazione di chiavi Amazon Web Services (AWS) e altri dati privati da sistemi compromessi.
In segno che la minaccia si sta evolvendo rapidamente, i ricercatori di Check Point hanno avvertito che 60 nuove varianti dell'exploit Log4j originale sono state introdotte in meno di 24 ore, aggiungendo che ha bloccato oltre 1.272.000 tentativi di intrusione, con il 46% degli attacchi messi in scena da noti dannosi gruppi. La società di sicurezza israeliana ha soprannominato Log4Shell una " vera pandemia informatica ".
La stragrande maggioranza dei tentativi di sfruttamento contro Log4Shell ha avuto origine in Russia (4.275), sulla base dei dati di telemetria di Kaspersky, seguita da Brasile (2.493), Stati Uniti (1.746), Germania (1.336), Messico (1.177), Italia (1.094 ), Francia (1.008) e Iran (976). In confronto, dalla Cina sono stati effettuati solo 351 tentativi.
Nonostante la natura mutante dell'exploit, la prevalenza dello strumento in una moltitudine di settori ha anche messo in allerta i sistemi di controllo industriale e gli ambienti tecnologici operativi che alimentano le infrastrutture critiche.
"Log4j è ampiamente utilizzato in applicazioni esterne/interne e interne che gestiscono e controllano i processi industriali lasciando molte operazioni industriali come energia elettrica, acqua, cibo e bevande, produzione e altre esposte a potenziali sfruttamento e accesso remoti", ha affermato Sergio Caltagirone , vicepresidente dell'intelligence sulle minacce di Dragos. "È importante dare la priorità alle applicazioni esterne e rivolte a Internet rispetto alle applicazioni interne a causa della loro esposizione a Internet, sebbene entrambe siano vulnerabili".
Lo sviluppo evidenzia ancora una volta come le principali vulnerabilità di sicurezza identificate nel software open source potrebbero creare una seria minaccia per le organizzazioni che includono tali dipendenze pronte all'uso nei loro sistemi IT. A parte l'ampia portata, Log4Shell è ancora più preoccupante per la sua relativa facilità di sfruttamento, gettando le basi per futuri attacchi ransomware.
"Per essere chiari, questa vulnerabilità rappresenta un grave rischio", ha affermato il direttore della CISA Jen Easterly . "Questa vulnerabilità, ampiamente sfruttata da un numero crescente di attori delle minacce, rappresenta una sfida urgente per i difensori della rete dato il suo ampio utilizzo. I fornitori dovrebbero anche comunicare con i propri clienti per garantire che gli utenti finali sappiano che il loro prodotto contiene questa vulnerabilità e dovrebbero dare la priorità agli aggiornamenti software."