Tehdit aktörleri, TellYouThePass olarak bilinen eski ve nispeten etkin olmayan bir fidye yazılımı ailesini yeniden canlandırdı ve Apache Log4j kitaplığındaki kritik bir uzaktan kod yürütme hatasını hedefleyen Windows ve Linux cihazlarına yönelik saldırılarda kullandı.
KnownSec 404 Ekibinden Heige bu saldırıları ilk kez bildirdi Twitter’dan Pazartesi günü, fidye yazılımının, CVE-2021-44228 olarak izlenen ve CVE-2021-44228 olarak bilinen kusuru hedefleyen istismarlar kullanılarak eski Windows sistemlerine düştüğünü gözlemledikten sonra Log4Shell.
Heige’in raporu, Log4Shell açıklarını kullanan saldırılarda kullanılan TellYouThePass fidye yazılımı örneklerinden birini başarıyla yakalayan Sangfor Tehdit İstihbarat Ekibi tarafından doğrulandı. Seçilmiş İstihbarat.
Daha fazla keşfettikleri gibi (bulgular CronUP’tan Germán Fernandez fidye yazılımının SSH anahtarlarını toplayan ve kurbanların ağlarında yanlamasına hareket eden bir Linux sürümü var.
Tellyouthepass fidye yazılımının saldırı başlatmak için yüksek riskli güvenlik açıklarını ilk kez kullanmadığını belirtmekte fayda var. Sangfor araştırmacıları şunları söyledi:. “Geçen yıl gibi erken bir tarihte, birden çok kuruluş birimine saldırmak için Ebedi Mavi güvenlik açıklarını kullanmıştı.”
Diğer güvenlik araştırmacıları [1, 2] ayrıca bu saldırılarda kullanılan fidye yazılımı örneklerinden birini analiz etmiş ve onu TellYouThePass ailesine “muhtemelen ait” olarak etiketlemiştir.
ID Ransomware hizmetine gönderim istatistiklerine göre, TellYouThePass fidye yazılımı büyük gördü ve ani artış sonra faaliyette Log4Shell kavram kanıtı açıkları çevrimiçi olarak yayınlandı.
Log4Shell fidye yazılımı saldırılarında istismar edildi
TellYouThePass, finansal motivasyonlu saldırganlar başladığından beri Log4Shell saldırılarında kullanılan ilk fidye yazılımı türü değil. Monero madencilerini enjekte etmek tehlikeye atılmış sistemlerde ve devlet destekli bilgisayar korsanları onu sömürmeye başladı takip etkinliği için dayanaklar oluşturmak için.
BitDefender ilk kez bildirdi yeni bir fidye yazılımı ailesi buldular (bazıları tarafından silecek olarak etiketlendi) Khonsari’nin doğrudan Log4Shell istismarları aracılığıyla kurulduğunu söylediler.
Microsoft 365 Defender Tehdit İstihbarat Ekibi, Khonsari fidye yazılımı yüklerini de gördü kendi kendine barındırılan Minecraft sunucularına düştü.
Sonuncu ama bir o kadar önemli, Conti fidye yazılımı operatörleri ayrıca cephanelerine bir Log4Shell istismarı ekledi Hedeflerin ağları arasında yanlamasına hareket etmek, VMware vCenter Server örneklerine erişim sağlamak ve sanal makineleri şifrelemek için.
İlgili haberde, CISA bugün Federal Sivil Yürütme Şubesi kurumlarına talimat verdi 23 Aralık’a kadar önümüzdeki altı gün içinde sistemlerini Log4Shell güvenlik açığına karşı yamalamak için.
Siber güvenlik ajansı, yakın zamanda kusurunu da ekledi. Bilinen Sömürülen Güvenlik Açıkları Kataloğu, bu da 24 Aralık’a kadar hatayı azaltmak için federal kurumların hızlandırılmış eylemini gerektirir.