La vulnérabilité Log4j est si puissante qu'elle semble avoir fait sortir de l'ombre de nombreux acteurs malveillants à la retraite et inactifs.
Plusieurs chercheurs en cybersécurité, dont ceux de Sophos et Curated Intelligence, disent désormais avoir détecté une tentative de distribution de TellYouThePass, une ancienne souche de ransomware jugée inactive, via la vulnérabilité Log4Shell.
Selon les chercheurs, le ransomware, vu pour la dernière fois en juillet 2020, est utilisé contre des cibles en Chine, aux États-Unis et en Europe, y compris les services cloud Amazon et Google. Des acteurs malveillants ciblent les appareils Windows et Linux, et cette dernière version peut voler des clés Secure Socket Shell (SSH) et effectuer des mouvements latéraux.
Menace entrante ?
L'abus de Log4j pour distribuer des ransomwares n'est pas encore répandu, disent les chercheurs, notant qu'ils n'ont encore observé aucune activité de ransomware mise en œuvre de cette manière.
Cependant, cela ne signifie pas que les opérateurs de ransomware ne vont pas dans cette direction. Cela pourrait signifier qu'ils sont encore en phase de découverte, se déplaçant à travers des réseaux compromis, mappant des points de terminaison et identifiant des données clés.
S'adressant à VentureBeat, Chris Neal, chercheur en menaces chez Cisco Talos, a déclaré qu'à ce stade, la prévention de la détection des logiciels malveillants est cruciale pour les acteurs malveillants : « Après un premier accès, ces attaquants choisiront généralement de gagner. Persistez, puis minimisez votre empreinte pour éviter la détection et la reconnaissance », explique Neal. "Ce type de comportement peut expliquer l'absence de campagnes de ransomware utilisant cet exploit observé."
Éloignez-vous du minage de crypto
À l'heure actuelle, le minage de crypto-monnaies semble être le moyen le plus populaire d'abuser de la faille log4j, mais avec le ransomware offrant un retour sur investissement beaucoup plus élevé et plus rapide, les chercheurs s'attendent à ce que les acteurs de la menace tournent rapidement.
"Certaines de ces petites choses, comme un mineur de crypto, pourraient finir par n'être que la première étape de l'attaque", a déclaré à VentureBeat Roger Koehler, vice-président des opérations contre les menaces chez Huntress. « Parce qu’ils peuvent aller vendre cet accès au marché noir. Et quelqu’un de plus grand et de plus méchant peut acheter cela et commettre quelque chose de plus dommageable, comme une attaque de ransomware. "
En fin de compte, « ces mineurs de crypto peuvent sembler petits, mais ils peuvent devenir quelque chose de plus grand ».
- Vous pouvez également consulter notre liste des meilleurs pare-feux du moment.
Via: VentureBeat