La peligrosa vulnerabilidad Log4j está siendo explotada por todo tipo de hackers
Como era de esperar, ciberdelincuentes de todo tipo están aprovechando la oportunidad de explotar la vulnerabilidad crítica recientemente revelada (CVE-2021-44228) en la biblioteca de registro de Apache Log4j basada en Java.
También conocida como Log4Shell o LogJam, la vulnerabilidad está siendo utilizada por hackers vinculados a gobiernos. Específicamente, por hackers respaldados por China, Irán, Corea del Norte y Turquía. Asimismo, por agentes de acceso utilizados por bandas de ransomware.
Todos los hackers están buscando aprovechar Log4Shell
Entre los primeros ciberdelincuentes en aprovechar Log4Shell para ejecutar payloads se encuentran los grupos de minería de criptomonedas y las redes de bots. Estos comenzaron a atacar inmediatamente después de que el código de explotación de prueba de concepto estuvo disponible.
En un informe del domingo, el Centro de Inteligencia de Amenazas de Microsoft (MSTIC) observó que la vulnerabilidad crítica de Log4j se estaba explotando para instalar balizas de Cobalt Strike. Esto podría indicar que estaban entrando al juego más ciberdelincuentes sofisticados, ya que los payloads suelen ser parte de las brechas de red.
MSTIC actualizó el informe el martes para agregar que detectó actividad de estados-nación usando Log4Shell, a veces en ataques activos. Los investigadores identificaron “grupos originarios de China, Irán, Corea del Norte y Turquía”.
“Esta actividad abarca desde la experimentación durante el desarrollo hasta la integración de la vulnerabilidad. Además, la implementación de payloads en el entorno y la explotación contra objetivos para lograr los objetivos del atacante”.
Microsoft Threat Intelligence Center
Uno de los actores es el grupo de amenazas iraní Phosphorus, también identificado como Charming Kitten, APT 35. Microsoft observó a este grupo de ciberdelincuentes”adquiriendo y haciendo modificaciones” al exploit Log4Shell.
A diferencia de la mayoría de los grupos de APTs que operan en estos días, Charming Kitten también tiene un historial de ataques de ransomware. El grupo ha realizado ataques para interrumpir las operaciones en lugar de cobrar, junto con la actividad de ciberespionaje.
Hackers chinos
Otro actor de amenazas de estados-nación que está aprovechando la vulnerabilidad Log4Shell es Hafnium.Hafnium es un grupo de hacking vinculado a China.
Hafnium ganó mucha notoriedad después de explotar las vulnerabilidades de día cero de ProxyLogon en Microsoft Exchange Server. El grupo perpetró ataques entre el período en que se reportaron las vulnerabilidades y se puso a disposición un parche.
Microsoft dice que Hafnium ahora está usando Log4Shell en ataques contra la infraestructura de virtualización “para extender su objetivo típico”.
Según los investigadores, los sistemas que utilizó Hafnium en estos ataques utilizaban un servicio DNS que normalmente se ve en la actividad de prueba de las máquinas de fingerprint.
La firma de ciberseguridad Mandiant ha confirmado que los hackers estatales chinos e iraníes están utilizando la vulnerabilidad Log4j en ataques. Y, es seguro que otros grupos hagan lo mismo o estén en una etapa de preparación.
John Hultquist, vicepresidente de análisis de inteligencia de Mandiant, dijo que los atacantes no perderán tiempo creando persistencia en redes específicas para el desarrollo futuro del ataque.
“Creemos que estos atacantes trabajarán rápidamente para crear puntos de apoyo en redes deseables para la actividad de seguimiento, que puede durar algún tiempo. En algunos casos, trabajarán a partir de una lista de objetivos que existía mucho antes de que esta vulnerabilidad fuera de conocimiento público. En otros casos, los objetivos deseables pueden seleccionarse después de un análisis amplio ”
– John Hultquist
Si bien el informe de MSTIC también menciona grupos de hackers respaldados por el estado de Corea del Norte y Turquía, los investigadores no ofrecieron ninguna información sobre cómo estos hackers aprovecharon Log4Shell.
Se esperan ataques de ransomware
Además de los hackers de estados-nación, Microsoft confirmó que los hackers que brindan acceso inicial a las redes a varios grupos, en su mayoría motivados financieramente, también han comenzado a explotar la vulnerabilidad de Log4j.
Los hackers de acceso inicial suelen trabajar con bandas de ransomware como servicio (RaaS), a las que venden acceso a redes de empresas comprometidas.
“Hemos observado que estos grupos intentan explotar tanto los sistemas Linux como Windows. Esto puede conducir a un aumento en el impacto del ransomware operado por humanos en estas dos plataformas de sistemas operativos”
– Microsoft Threat Intelligence Center.
Log4Shell ya fue utilizado en un ataque de ransomware de un nuevo atacante llamado Khonsari, según muestra un informe de Bitdefender.
Según la información disponible, Khonsari se puede utilizar para borrar datos en lugar de cifrarlos. Curiosamente, la nota de rescate incluye los datos de contacto del propietario de una tienda de antigüedades de Luisiana en lugar del atacante.
No es de extrañar que Log4Shell haya atraído a hackers de todo tipo. La vulnerabilidad tiene una puntuación máxima de gravedad y se puede explotar de forma remota sin autenticación para tomar el control total de un sistema vulnerable. Además, la biblioteca Log4j vulnerable está incluida en productos de docenas de proveedores .
Dado el daño que puede causar esta vulnerabilidad, la Agencia de Seguridad de Infraestructura de Ciberseguridad (CISA) ordenó a las agencias estadounidenses que parcheen los sistemas de inmediato.