Pesquisadores de segurança digital identificaram nesta terça-feira (14) o primeiro caso de ransomware sendo aplicado por meio da falha Log4J, descoberta no final de semana. O ataque também revelou uma nova família de praga focada em sequestro digital, chamada Khonsari, mas esse primeiro incidente não parece ter como objetivo o ganho financeiro, quando se considera o alvo atingido e, também, a ausência de meios de contato com os atacantes.
Seja como for, é um sinal de alerta a mais para a comunidade de segurança, na medida em que se espalham pelo mundo os ataques relacionados à falha em um sistema de registro de aplicações Java. A partir dele, sem credenciais ou outros meios de intrusão, é possível executar códigos maliciosos e acessar servidores remotos que, neste caso, baixaram e instalaram o ransomware responsável pelo travamento dos sistemas.
Chamou a atenção dos especialistas, entretanto, o fato de tanto o título do ransomware quanto as informações de contato pertencerem a uma loja de antiguidades no estado americano da Lousiana. Não se sabe, por exemplo, se essa foi a primeira vítima, e a ideia de que não existe um meio legítimo de negociar e, principalmente, pagar os criminosos responsáveis seria um indicativo de que a exploração se trata de um teste (bem-sucedido, diga-se de passagem).
-
Podcast Canaltech: de segunda a sexta-feira, você escuta as principais manchetes e comentários sobre os acontecimentos tecnológicos no Brasil e no mundo. Links aqui: https://canaltech.com.br/360/
-
O alerta foi dado inicialmente pela BitDefender, que também indicou o uso da vulnerabilidade Log4J para entrega de trojans de acesso remoto Orcus, que também poderiam ser usados em novas explorações com ransomware e outras pragas. Ainda, uma apuração do site Bleeping Computer aponta detecções de uso da abertura para entrega de sinais Cobalt Strike, também com o mesmo intuito.
Os incidentes relacionados à brecha, descoberta no último final de semana, e vem se espalhando de forma vertiginosa por todo o mundo. De acordo com as informações mais atualizadas da Check Point, empresa especializada em segurança digital, já foram mais de 1,8 milhão de tentativas de explorar a vulnerabilidade, com 46% das redes corporativas de todo o mundo sendo impactadas. Mais da metade dos incidentes, também, veio de atores de ameaça conhecidos.
A recomendação é de atualização de todo e qualquer sistema que tenha o recurso de registro implementado, mas isso pode não ser tão simples assim, tanto devido à popularidade da solução de código aberto quanto à sua presença em plataformas altamente customizadas. Ainda assim, o caminho é a realização de auditorias de software para encontrar possíveis pontos de entrada e o uso de aplicações de segurança que ajudam a identificar aberturas e mitigar ataques.
Leia a matéria no Canaltech.
Trending no Canaltech: