Conti ransomware operasyonu, dahili VMware vCenter Server örneklerine hızlı erişim sağlamak ve sanal makineleri şifrelemek için kritik Log4Shell istismarını kullanıyor.
Çete, yeni saldırı vektörünü benimsemek için fazla zaman kaybetmedi ve Log4j güvenlik açığını silah haline getirdiği bilinen ilk “üst düzey” operasyon.
Artı işaretinde savunmasız vCenter
Kavram kanıtı (PoC) CVE-2021-44228 için istismar – Log4Shell olarak da bilinir – 9 Aralık’ta kamusal alanda ortaya çıktı.
Bir gün sonra, birden fazla aktörün savunmasız sistemler aramasıyla birlikte internette toplu tarama başladı. Arasında hatayı ilk kullanan kripto para madencileri, botnetler ve adı verilen yeni bir fidye yazılımı türüydü. Konser.
15 Aralık’a kadar Log4Shell kullanan tehdit aktörlerinin listesi, devlet destekli bilgisayar korsanlarını ve genellikle fidye yazılımı çetelerine ağ erişimi satan ilk erişim komisyoncularını kapsayacak şekilde genişletildi.
Onlarca aktif tam zamanlı üyesiyle bugünün en büyük ve en üretken fidye yazılımı çetelerinden biri olan Conti, 12 Aralık Pazar günü olası bir saldırı yolu olarak görerek Log4Shell ile erkenden ilgilenmeye başlamış gibi görünüyor.
Çete ertesi gün yeni kurbanlar aramaya başladı, hedefleri VMware vCenter ağlarına, siber suçlara ve düşmanca kesintiye neden olan Advanced Intelligence’a yanal hareket etmekti (AdvIntel) BleepingComputer ile paylaşıldı.
Düzinelerce satıcı Log4Shell’den etkilendi ve ürünlerini yamalamak veya müşteriler için geçici çözümler ve hafifletmeler sağlamak için acele etti. VMware onlardan biri, 40 hassas ürün listeleniyor.
Şirket, azaltmalar veya düzeltmeler sağlasa da, etkilenen vCenter sürümleri için bir yama henüz kullanıma sunulmadı.
vCenter sunucuları normalde genel internete açık değildir, bir saldırganın bu sorundan yararlanabileceği senaryolar vardır:
“Etkilenen bir VMware ürününe ağ erişimi olan kötü niyetli bir aktör, hedef sistemin tam kontrolünü ele geçirmek ve/veya bir hizmet reddi saldırısı gerçekleştirmek için bu sorundan yararlanabilir” – sanal makine yazılımı
AdvIntel, Conti fidye yazılımı çete üyelerinin, kamu istismarını kullanan operasyonları için Log4Shell’den yararlanmaya ilgi gösterdiğini söylüyor.
Yatay hareket etmek için Log4Shell
BleepingComputer ile paylaşılan bir raporda şirket, “bu güvenlik açığı büyük bir fidye yazılımı grubunun radarına ilk kez girdiğini” belirtiyor.
“Mevcut istismar, Conti grubunun Log4J istismarını kullanma olasılıklarını test ettiği çoklu kullanım durumlarına yol açtı” – AdvIntel
Çoğu savunucu, İnternet’e maruz kalan cihazlara yönelik Log4Shell saldırılarını engellemeye odaklanırken, Conti fidye yazılımı işlemi, güvenlik açığının, fazla ilgi görmeyebilecek dahili cihazları hedeflemek için nasıl kullanılabileceğini gösterir.
Araştırmacılar, Conti fidye yazılımı bağlı kuruluşlarının hedef ağları tehlikeye attığını ve vCenter sunucularına erişmek için savunmasız Log4j makinelerini kullandığını doğruladı.
Bu, Conti fidye yazılımı üyelerinin bir ağın güvenliğini aşmak için farklı bir ilk erişim vektörüne (RDP, VPN, e-posta kimlik avı) güvendiği ve şu anda ağ üzerinde yatay olarak hareket etmek için Log4Shell’i kullandığı anlamına geliyor.
Conti, rezil Ryuk’un halefi olarak uzun süredir fidye yazılımı oyununda olan Rusça konuşan bir gruptur.
Çete yüzlerce saldırıdan sorumlu, veri sızıntısı sitesi tek başına fidye ödemeyen 600’den fazla kurban şirketi listeliyor. Bunlara, aktöre verilerinin şifresini çözmesi için ödeme yapan diğer işletmeler eklenir.
siber güvenlik şirketi Grup-IB tahminleri fidye yazılımı kurbanlarının yaklaşık %30’u, saldırganın şifre çözme aracını kullanarak dosyalarını geri yüklemek için ödeme yapmayı tercih ediyor.
Son zamanlarda, Avustralya Siber Güvenlik Merkezi (ACSC) bir rapor yayınladı. Conti fidye yazılımı hakkında uyarı ülkedeki birden fazla kuruluşu hedef alıyor. Kurbanlardan biri elektrik sağlayıcısı CS Energy idi.
Avustralya hükümeti tarafından kullanılan bir bordro yazılımı sağlayıcısı olan Frontier Software, aynı zamanda Conti tarafından vuruldu, on binlerce devlet çalışanının verilerinin açığa çıkmasına neden olan ihlal.
Son zamanlarda, BleepingBilgisayar öğrenildi çetenin Oregon (Portland) ve Washington, ABD’deki bir bira fabrikası ve otel zinciri olan McMenamins’i vurduğunu
Conti fidye yazılımı, Haziran 2020’den beri bu ad altında faaliyet gösteriyor. AdvIntel’den alınan bilgiye göre, grup son altı ayda kurbanlarından 150 milyon dolardan fazla gasp etti.