Une toute nouvelle souche de ransomware exploite Log4j

La vulnérabilité Log4j est si puissante qu’elle semble avoir fait sortir de l’ombre de nombreux acteurs malveillants à la retraite et inactifs.

De nombreux scientifiques en cybersécurité, y compris tous ceux de Sophos et Curated Intelligence, expriment maintenant qu’ils ont repéré une tentative de distribution de TellYouThePass, une ancienne pression de ransomware qui était considérée comme inactive, par la vulnérabilité Log4Shell.

Selon les chercheurs, le ransomware, déjà vu en juillet 2020, est appliqué à partir de cibles en Chine, aux États-Unis et en Europe, qui incluent les services d’experts en cloud d’Amazon et de Google. Les acteurs destructeurs se concentrent sur ces deux appareils Windows et Linux, la version de ce dernier étant en mesure de voler les clés Protected Socket Shell (SSH) et d’accomplir un mouvement latéral.

Danger entrant ?

L’abus de Log4j pour distribuer un ransomware n’est pas encore répandu, indiquent les scientifiques, notant qu’ils doivent néanmoins observer toute activité de ransomware déployé de cette manière.

Néanmoins, cela ne signifie pas nécessairement que les opérateurs de ransomware ne s’engagent pas dans cette voie. Cela pourrait indiquer qu’ils sont néanmoins en période de reconnaissance, se déplaçant par des réseaux compromis, cartographiant les points finaux et déterminant des faits importants.

Parler à VentureBeat, Chris Neal, chercheur en risques chez Cisco Talos, déclare que la prévention de la détection des logiciels malveillants est vitale pour les acteurs malveillants à ce niveau : « Après un accès préliminaire, ces attaquants choisiront normalement de gagner en persistance, puis de réduire leur empreinte pour se protéger contre la détection et effectuer une reconnaissance », Neal expliqué. “Ce type d’habitudes peut expliquer le manque de stratégies de ransomware utilisant cet exploit qui reste observé.”

Déplacement absent du cryptomining

Pour le moment, le cryptomining semble être le moyen le plus connu d’abuser de la faille log4j, mais avec le ransomware offrant un retour sur investissement beaucoup plus important et beaucoup plus rapide, les scientifiques s’attendent à ce que les acteurs de la menace pivotent rapidement.

“Certains de ces petits problèmes, comme un mineur de crypto, peuvent finir par obtenir cette toute première phase d’attaque”, a déclaré Roger Koehler, vice-président des opérations de menace chez Huntress, à VentureBeat. « Parce qu’ils peuvent aller promouvoir cette accessibilité sur le secteur noir. Et toute personne encore plus grosse et plus méchante peut acquérir cela et faire quelque chose de bien plus dangereux, comme une attaque de ransomware. »

En fin de compte, “ces mineurs de crypto peuvent sembler petits, mais cela peut dégénérer en quelque chose d’encore plus gros”.

Vous pouvez également consulter notre liste des meilleurs pare-feux idéaux maintenant

Au moyen de : VentureBeat