La vulnérabilité Log4j est si puissante qu’elle semble avoir fait sortir de l’ombre de nombreux acteurs malveillants à la retraite et inactifs.
Plusieurs chercheurs en cybersécurité, dont ceux de Sophos et Curated Intelligence, disent maintenant avoir repéré une tentative de distribution de TellYouThePass, une ancienne souche de ransomware jugée inactive, via la vulnérabilité Log4Shell.
Selon les chercheurs, le ransomware, vu pour la dernière fois en juillet 2020, est utilisé contre des cibles en Chine, aux États-Unis et en Europe, y compris les services cloud Amazon et Google. Les acteurs malveillants ciblent à la fois les appareils Windows et Linux, la version de ce dernier étant capable de voler les clés Secure Socket Shell (SSH) et d’effectuer un mouvement latéral.
Menace entrante ?
Abuser de Log4j pour distribuer des ransomwares n’est pas encore très répandu, disent les chercheurs, notant qu’ils n’ont pas encore observé d’activité de ransomwares déployés de cette manière.
Cependant, cela ne signifie pas que les opérateurs de ransomware ne vont pas dans cette direction. Cela pourrait signifier qu’ils sont encore en phase de reconnaissance, se déplaçant à travers des réseaux compromis, cartographiant les points de terminaison et identifiant les données clés.
Parler à VentureBeat, Chris Neal, chercheur sur les menaces chez Cisco Talos, déclare qu’empêcher la détection des logiciels malveillants est crucial pour les acteurs malveillants à ce stade : « Après l’accès initial, ces attaquants choisiront généralement de gagner en persistance, puis de minimiser leur empreinte pour empêcher la détection et effectuer une reconnaissance », a déclaré Neal. « Ce type de comportement peut expliquer le manque de campagnes de ransomware utilisant cet exploit observé. »
S’éloigner du cryptomining
Pour le moment, le cryptomining semble être le moyen le plus populaire d’abuser de la faille log4j, mais avec le ransomware offrant un retour sur investissement beaucoup plus élevé et plus rapide, les chercheurs s’attendent à ce que les acteurs de la menace pivotent rapidement.
« Certaines de ces petites choses, comme un mineur de crypto, peuvent finir par n’être que la première étape de l’attaque », a déclaré Roger Koehler, vice-président des opérations de menace chez Huntress, à VentureBeat. « Parce qu’ils peuvent aller vendre cet accès au marché noir. Et quelqu’un de plus gros et de plus méchant peut acheter cela et faire quelque chose de plus préjudiciable, comme une attaque de ransomware. »
En fin de compte, « ces mineurs de crypto peuvent sembler petits, mais cela peut dégénérer en quelque chose de plus grand ».
- Vous pouvez également consulter notre liste des meilleurs pare-feu du moment
Via: VentureBeat