Recebi mais uma atualização da Check Point Software, desta vez chamando a atenção para a monitoração de atividade de exploração em que detectou muitos ataques envolvendo a mineração de criptomoedas. No blog “Um mergulho profundo em uma exploração Log4j da vida real” ( https://blog.checkpoint.com/2021/12/14/a-deep-dive-into-a-real-life-log4j-exploitation/ e em anexo), os pesquisadores mostram como funciona uma exploração LogJ4X em tempo real que usa malware não detectado para atingir vítimas em cinco países.
A CPR detectou vários ataques que exploram a vulnerabilidade Log4j e demonstra um exemplo detalhado de como um ataque na vida real realmente funciona. Enquanto a maioria dos mineradores detectados se aproveitou desta vulnerabilidade para mineração de criptografia baseada em Linux, os pesquisadores da Check Point Research, agora, detectaram um ataque cibernético envolvendo um malware baseado em NET não detectado pela primeira vez.
Esse ataque específico teve, hoje, como alvo cinco vítimas nos setores financeiro, bancário e de software nos seguintes países: Israel, Estados Unidos, Coreia do Sul, Suíça e Chipre. O servidor que contém os arquivos maliciosos está localizado nos EUA e hospeda vários arquivos maliciosos.
Esses ataques (orientados por criptografia, menos destrutivos) representam os estágios iniciais de ataques em grande escala (como ransomware). É uma espécie de “ensaio ao vivo” da vulnerabilidade e do potencial de dano que pode ser feito às vítimas, para posteriormente realizar uma ofensiva maior.
Em termos simples, uma vez que qualquer tipo de malware é injetado, é apenas uma questão de tempo para um ataque maior. Tecnicamente, não há muita diferença. O que agora é mineração de criptografia, muitas vezes mais tarde se torna ransomware e outros tipos de ataques significativos.
Atualmente, o CPR rastreou mais de 1.272.000 tentativas de exploração da vulnerabilidade, afetando mais de 44% das redes corporativas em todo o mundo.
Como funciona o ataque:
O ataque explora a vulnerabilidade Log4j para baixar um malware Trojan, que dispara o download de um arquivo .exe, que por sua vez instala um criptominerador. Uma vez que o criptominerador é instalado, ele começa a usar os recursos da vítima, a fim de minerar por criptomoeda para o lucro dos atacantes, tudo sem que a vítima saiba que foi comprometida. Como parte das técnicas de evasão do malware, todas as funções e nomes de arquivos relevantes são ofuscados para evitar a detecção por mecanismos de análise estática.
Lotem Finkelstein, diretor de Inteligência de Ameaças da Check Point Software alerta a respeito:
“Detectamos um grande número de tentativas de exploração nos últimos dias. Os atacantes estão procurando ativamente por alvos potencialmente vulneráveis e novas ferramentas de varredura para essa vulnerabilidade continuam surgindo. Ataques em menor escala são como os ataques em maior escala se desenvolvem. Os atacantes gostam de testar suas ferramentas e alvos, levando a ataques mais perigosos, como ransomware.”
“Esta é claramente uma das vulnerabilidades mais sérias da Internet nos últimos anos e está se espalhando como um incêndio. Em alguns pontos, vimos mais de 100 invasões (hacks) por minuto relacionados à vulnerabilidade LogJ4. Estamos vendo o que parece ser uma repressão evolucionária, com novas variantes de exploração original sendo introduzidas rapidamente – mais de 60 em menos de 24 horas. O número de combinações de como explorá-lo oferece ao atacante muitas alternativas para contornar as proteções recém-introduzidas. Isso significa que uma camada de proteção não é suficiente e apenas a postura de segurança em várias camadas forneceria uma proteção resiliente.”
“Essa vulnerabilidade, por causa da complexidade de se corrigir e da facilidade de exploração, permanecerá por muitos anos, a menos que as empresas e quem oferece serviços tomem medidas imediatas para evitar os ataques a seus produtos implementando uma proteção. Agora é hora de agir. Considerando os feriados de final de ano, quando as equipes de segurança podem demorar mais para implementar medidas de proteção, a ameaça é iminente. Isso age como uma pandemia cibernética, altamente contagiosa, que se espalha rapidamente e tem múltiplas variantes, o que impõe mais formas de ataque.”
