Check Point bloqueó más de 845.000 intentos de intrusión
La empresa rumana de tecnología de ciberseguridad Bitdefender reveló el lunes que se están haciendo intentos para atacar máquinas Windows con una nueva familia de ransomware llamada Khonsari, así como un RAT (troyano de acceso remoto) llamado Orcus, explotando la vulnerabilidad crítica Log4j recientemente revelada.
El ataque aprovecha una falla de ejecución remota del código para descargar una carga adicional, un binario .NET, de un servidor remoto que encripta todos los archivos con la extensión ".khonsari" y muestra una nota de rescate que insta a las víctimas a realizar un pago de Bitcoin a cambio de recuperar el acceso a los archivos.
La vulnerabilidad se rastrea como CVE-2021-44228 y también es conocida por los apodos "Log4Shell" o "Logjam". En términos simples, el error podría obligar a un sistema afectado a descargar software malicioso, dando a los atacantes una cabeza de playa digital en los servidores ubicados dentro de las redes corporativas.
Log4j es una biblioteca Java de código abierto mantenida por la organización sin fines de lucro Apache Software Foundation. Con cerca de 475.000 descargas de su proyecto GitHub y ampliamente adoptada para el registro de eventos de aplicaciones, la utilidad también forma parte de otros frames, como Elasticsearch, Kafka y Flink, que se utilizan en muchos populares sitios web y servicios.
La divulgación se produce cuando la Agencia de Seguridad de Infraestructura y Ciberseguridad de los EE. UU. (CISA) hizo sonar una alarma de advertencia de explotación activa y generalizada de la falla que, si no se aborda, podría otorgar acceso sin restricciones y desencadenar una nueva ronda de ataques cibernéticos, ya que las consecuencias del error han provocado que las empresas se apresuren a encontrar y parchear máquinas vulnerables.
"Un adversario puede explotar esta vulnerabilidad al enviar una solicitud especialmente diseñada a un sistema vulnerable que hace que ese sistema ejecute código arbitrario", dijo la agencia en una guía emitida el lunes. "La solicitud permite al adversario tomar el control total del sistema. El adversario puede entonces robar información, lanzar ransomware o realizar otra actividad maliciosa".
Además, CISA también ha agregado la vulnerabilidad Log4j a su Catálogo de vulnerabilidades explotadas conocidas, dando a las agencias federales una fecha límite del 24 de diciembre para incorporar parches para la falla. Agencias gubernamentales de Austria, Canadá, Nueva Zelanda y el Reino Unido han emitido anteriormente avisos similares.
Hasta ahora, los intentos de explotación activa registrados en la naturaleza han involucrado el abuso de la falla para conectar los dispositivos a una botnet y lanzar cargas útiles adicionales como Cobalt Strike y mineros de criptomonedas. La firma de ciberseguridad Sophos dijo que también observó intentos de exfiltrar claves y otros datos privados de Amazon Web Services.
En una señal de que la amenaza está evolucionando rápidamente, los investigadores de Check Point advirtieron sobre la introducción de 60 nuevas variaciones del exploit Log4j original en menos de 24 horas, agregando que bloqueó más de 845.000 intentos de intrusión, con el 46% de los ataques organizados por conocidos grupos maliciosos.
La gran mayoría de los intentos de explotación contra Log4Shell se han originado en Rusia (4.275), según los datos de telemetría de Kaspersky, seguida de Brasil (2.493), EE. UU. (1.746), Alemania (1.336), México (1.177), Italia (1.094 ), Francia (1.008) e Irán (976). En comparación, solo se realizaron 351 intentos desde China.
A pesar de la naturaleza cambiante del exploit, la prevalencia de la herramienta en una multitud de sectores también ha puesto en alerta máxima a los sistemas de control industrial y los entornos de tecnología operativa que alimentan la infraestructura crítica.
"Log4j se utiliza mucho en aplicaciones internas y externas a Internet que gestionan y controlan procesos industriales, dejando muchas operaciones industriales como energía eléctrica, agua, alimentos y bebidas, fabricación y otras expuestas a una potencial explotación y acceso remotos", dijo Sergio Caltagirone, vicepresidente de inteligencia de amenazas en Dragos. "Es importante priorizar las aplicaciones externas y orientadas a Internet sobre las aplicaciones internas debido a su exposición a Internet, aunque ambas son vulnerables".
El desarrollo una vez más destaca cómo las principales vulnerabilidades de seguridad identificadas en el software de código abierto podrían provocar una seria amenaza para las organizaciones que incluyen dependencias estándar en sus sistemas de TI. Dejando de lado el amplio alcance, Log4Shell es aún más preocupante por su relativa facilidad de explotación, lo que sienta las bases para futuros ataques de ransomware.
"Para ser claros, esta vulnerabilidad presenta un riesgo severo", dijo la directora de CISA, Jen Easterly. "Esta vulnerabilidad, que está siendo ampliamente explotada por un creciente conjunto de actores de amenazas, presenta un desafío urgente para los defensores de las redes dado su amplio uso. Los proveedores también deben comunicarse con sus clientes para asegurarse de que los usuarios finales sepan que su producto contiene esta vulnerabilidad y deben priorizar las actualizaciones de software".
