Ara-Gen - Perusahaan teknologi keamanan siber Rumania Bitdefender pada hari Senin (13 Desember 2021) mengungkapkan bahwa upaya sedang dilakukan untuk menargetkan mesin Windows dengan keluarga ransomware baru yang disebut Khonsari serta Trojan akses jarak jauh bernama Orcus dengan mengeksploitasi kerentanan Log4j kritis yang baru-baru ini diungkapkan.
Serangan tersebut memanfaatkan kelemahan eksekusi kode jarak jauh untuk mengunduh muatan tambahan, biner .NET, dari server jarak jauh yang mengenkripsi semua file dengan ekstensi ".khonsari" dan menampilkan catatan tebusan yang mendesak para korban untuk melakukan pembayaran Bitcoin di pertukaran untuk memulihkan akses ke file.
Baca juga: Kerentanan Apache Log4j Diserang Secara Masif
Kerentanan dilacak sebagai CVE-2021-44228 dan juga dikenal dengan moniker "Log4Shell" atau "Logjam." Secara sederhana, bug dapat memaksa sistem yang terpengaruh untuk mengunduh perangkat lunak berbahaya, memberikan penyerang tempat berpijak digital di server yang terletak di dalam jaringan perusahaan.
Log4j adalah library Java open-source yang dikelola oleh Yayasan Perangkat Lunak Apache nirlaba. Mengumpulkan sekitar 475.000 unduhan dari proyek GitHub dan diadopsi secara luas untuk pencatatan peristiwa aplikasi, utilitas ini juga merupakan bagian dari kerangka kerja lain, seperti Elasticsearch, Kafka dan Flink, yang digunakan di banyak situs web dan layanan populer.
Pengungkapan itu muncul ketika Badan Keamanan Siber dan Infrastruktur AS (CISA) membunyikan peringatan alarm tentang eksploitasi cacat yang aktif dan meluas yang, jika dibiarkan tidak ditangani, dapat memberikan akses tanpa batas dan melepaskan putaran baru serangan dunia maya, sebagai dampak dari bug telah membuat perusahaan bergegas untuk menemukan dan menambal mesin yang rentan.
"Musuh dapat mengeksploitasi kerentanan ini dengan mengirimkan permintaan yang dibuat khusus ke sistem rentan yang menyebabkan sistem itu mengeksekusi kode arbitrer," kata badan tersebut dalam panduan yang dikeluarkan Senin. "Permintaan tersebut memungkinkan musuh untuk mengambil kendali penuh atas sistem. Musuh kemudian dapat mencuri informasi, meluncurkan ransomware, atau melakukan aktivitas jahat lainnya."
Selain itu, CISA juga telah menambahkan kerentanan Log4j ke Katalog Kerentanan yang Diketahui Eksploitasi, memberi agen federal batas waktu 24 Desember untuk memasukkan tambalan perbaikan yang cacat tersebut. Anjuran serupa sebelumnya telah dikeluarkan oleh lembaga pemerintah di Austria, Kanada, Selandia Baru, dan Inggris.
Sejauh ini, upaya eksploitasi aktif yang tercatat di alam liar (wild) telah melibatkan penyalahgunaan cacat tersebut untuk mengikat atau menempelkan perangkat ke botnet, dan menjatuhkan muatan tambahan seperti Cobalt Strike dan penambang cryptocurrency. Perusahaan keamanan siber Sophos mengatakan pihaknya juga mengamati upaya untuk mengekstrak kunci dan data pribadi lainnya dari Amazon Web Services.
Sebagai tanda bahwa ancaman berkembang pesat, peneliti Check Point memperingatkan 60 variasi baru dari eksploit Log4j asli yang diperkenalkan dalam waktu kurang dari 24 jam, menambahkannya memblokir lebih dari 845.000 upaya intrusi, dengan 46% serangan dilakukan oleh kejahatan yang diketahui. kelompok.
Sebagian besar upaya eksploitasi terhadap Log4Shell berasal dari Rusia (4275), berdasarkan data telemetri dari Kaspersky, diikuti oleh Brasil (2.493), AS (1.746), Jerman (1.336), Meksiko (1.177), Italia (1.094). ), Prancis (1.008), dan Iran (976). Sebagai perbandingan, hanya 351 upaya yang dilakukan dari China.
Meskipun sifat eksploitasi yang bermutasi, prevalensi alat di banyak sektor juga telah menempatkan sistem kontrol industri dan lingkungan teknologi operasional yang menggerakkan infrastruktur penting dalam siaga tinggi.
"Log4j banyak digunakan dalam aplikasi eksternal/internet dan internal yang mengelola dan mengontrol proses industri sehingga banyak operasi industri seperti tenaga listrik, air, makanan dan minuman, manufaktur, dan lainnya terpapar potensi eksploitasi dan akses jarak jauh," kata Sergio Caltagirone , wakil presiden intelijen ancaman di Dragos. "Sangat penting untuk memprioritaskan aplikasi eksternal dan yang menghadap internet daripada aplikasi internal karena paparan internet mereka, meskipun keduanya rentan."
Perkembangan ini sekali lagi menyoroti bagaimana kerentanan keamanan utama yang diidentifikasi dalam perangkat lunak open-source dapat memicu ancaman serius bagi organisasi yang menyertakan ketergantungan yang tidak tersedia dalam sistem TI mereka.
Selain jangkauannya yang luas, Log4Shell lebih mengkhawatirkan karena relatif mudah dieksploitasi, meletakkan dasar serangan ransomware di masa depan. "Agar jelas, kerentanan ini menimbulkan risiko yang parah," kata Direktur CISA Jen Easterly. "Kerentanan ini, yang dieksploitasi secara luas oleh sekelompok pelaku ancaman yang terus bertambah, menghadirkan tantangan mendesak bagi para pembela jaringan mengingat penggunaannya yang luas.
Vendor juga harus berkomunikasi dengan pelanggan mereka untuk memastikan pengguna akhir tahu bahwa produk mereka mengandung kerentanan ini dan harus memprioritaskan pembaruan perangkat lunak."
Temukan artikel atau berita tentang keamanan siber hanya disini, Bagikan berita ini jika dirasa perlu, terima kasih
Posting Komentar