cloud-2537777_640.jpg

Como funciona um ataque na vida real explorando o Log4j

Ataque teve como alvo cinco vítimas nos setores financeiro, bancário e de software nos seguintes países: Israel, Estados Unidos, Coreia do Sul, Suíça e Chipre
Da Redação
14/12/2021

A Check Point Research (CPR), divisão de inteligência em ameaças da Check Point Software, detectou vários ataques que exploram a vulnerabilidade de execução remota de código (RCE) no pacote Apache Log4j e apresenta um exemplo detalhado de como um ataque funciona na vida real. Embora a maioria dos mineradores de criptomoedas detectados tenha se aproveitado dessa vulnerabilidade baseada em Linux, os pesquisadores da CPR descobriram um ataque cibernético envolvendo malware baseado em .NET ainda não detectado.

Esse ataque teve como alvo cinco vítimas nos setores financeiro, bancário e de software nos seguintes países: Israel, Estados Unidos, Coreia do Sul, Suíça e Chipre. O servidor que contém os arquivos maliciosos está localizado nos EUA e hospeda vários arquivos maliciosos.

Segundo os pesquisadores, esses ataques — orientados por criptografia, menos destrutivos — representam os estágios iniciais de uma campanha em grande escala, como ransomware. É uma espécie de “ensaio ao vivo” da vulnerabilidade e do potencial de dano que pode ser feito às vítimas, para posteriormente realizar uma ofensiva maior.

Em termos simples, uma vez que um malware é instalado, é apenas uma questão de tempo para um ataque maior. Tecnicamente, não há muita diferença. O que agora é mineração de criptomoedas, mais tarde pode se tornar um ataque de ransomware e outros tipos de ataques significativos.

Até o momento, a CPR rastreou mais de 1,2 milhão de tentativas de exploração da vulnerabilidade, afetando mais de 44% das redes corporativas em todo o mundo.

Como funciona o ataque

O ataque explora a vulnerabilidade Log4j para baixar um trojan (cavalo de Troia bancário), que dispara o download de um arquivo .exe, que por sua vez instala um criptominerador. Uma vez instalado o criptominerador, ele começa a usar os recursos da vítima a fim de minerar criptomoeda, tudo sem que a vítima saiba que foi comprometida. Como parte das técnicas de evasão do malware, todas as funções e nomes de arquivos relevantes são ofuscados para evitar a detecção por mecanismos de análise estática.

“Detectamos um grande número de tentativas de exploração nos últimos dias. Os hackers estão procurando ativamente por alvos potencialmente vulneráveis e novas ferramentas de varredura para essa vulnerabilidade continuam surgindo. Ataques em menor escala são como os ataques em maior escala se desenvolvem. Os atacantes gostam de testar suas ferramentas e alvos, levando a ataques mais perigosos, como ransomware”, disse Lotem Finkelstein, diretor de inteligência de ameaças da Check Point Software.

Ele diz que esta é claramente uma das vulnerabilidades mais sérias da internet nos últimos anos e está se espalhando como uma pandemia. “Em alguns pontos, detectamos mais de 100 invasões [hacks] por minuto relacionadas à vulnerabilidade LogJ4. Estamos vendo o que parece ser uma repressão evolucionária, com novas variantes de exploração sendo introduzidas. O número de combinações de como explorá-lo oferece ao atacante muitas alternativas para contornar as proteções recém-introduzidas. Isso significa que uma camada de proteção não é suficiente e apenas a postura de segurança em várias camadas forneceria uma proteção resiliente”, explica Finkelstein.

Por dentro do Apache Log4j

O Apache Log4j é a biblioteca de registro Java mais popular, com mais de 400 mil downloads em seu projeto GitHub. É utilizado por um grande número de empresas em todo o mundo, permitindo o registro em um amplo conjunto de aplicativos bem conhecidos. Desde a última sexta-feira, 10, os pesquisadores da CPR testemunharam o que parece ser uma repressão evolutiva, com a rápida introdução de novas variantes da exploração original, mais de 60 em menos de 24 horas. 

Veja isso
Hackers varrem 40% das redes em busca de Log4J
Máquinas com Log4j-2 vulnerável se tornam alvo do dia

Precisamente um ano após o hack à cadeia de suprimentos do SolarWinds, a vulnerabilidade do Apache Log4j pegou equipes de segurança de surpresa durante um final de semana.  Ao contrário de outros ataques cibernéticos principais que envolvem um ou um número limitado de software, o Log4j é basicamente incorporado em todos os produtos ou serviços da web baseados em Java. É muito difícil remediar manualmente. 

Pandemia cibernética 

Uma das características mais dramáticas de uma pandemia cibernética são as principais vulnerabilidades em softwares e serviços populares, que afetam um grande número de organizações em todo o mundo, espalhando-se rapidamente. 

A distribuição por países é impressionante e atravessa continentes e regiões, chegando a mais de 90 países em todas as regiões. O impacto em si também é amplo e atinge picos de países que veem mais de 60% das redes corporativas impactadas, e muitas distribuições vendo mais de 50% das redes corporativas dentro do país sendo afetadas. No Brasil, o impacto dessa vulnerabilidade correspondeu, até o momento, a 49% das redes corporativas que sofreram tentativas de exploração. 

A equipe da CPR aprofundou-se nos números por trás do ataque, coletados e analisados, e viram uma propagação semelhante a uma pandemia desde o surto na sexta-feira, 10, até o início desta semana. Os primeiros relatórios em 10 de dezembro mostraram apenas milhares de tentativas de ataque, aumentando para mais de 40 mil durante o sábado, 11 de dezembro. Vinte e quatro horas após o surto inicial, os sensores da CPR registraram quase 200 mil tentativas de ataque em todo o mundo se aproveitando dessa vulnerabilidade. Nas 72 horas após o surto inicial, o número atingiu mais de 800 mil ataques.

Impacto nos dias 11 e 13 de dezembro 

Tentativas de ataque no mundo

  

É claramente uma das vulnerabilidades mais sérias da internet nos últimos anos e o potencial de danos é incalculável, ressaltam os pesquisadores da CPR. 

Múltiplas variantes: crescimento exponencial 

Compartilhar:

Parabéns, você já está cadastrado para receber diariamente a Newsletter do CISO Advisor

Por favor, verifique a sua caixa de e-mail: haverá uma mensagem do nosso sistema dando as instruções para a validação de seu cadastro. Siga as instruções contidas na mensagem e boa leitura. Se você não receber a mensagem entre em contato conosco pelo “Fale Conosco” no final da homepage.

ATENÇÃO: INCLUA newsletter@cisoadvisor.com.br NOS CONTATOS DE EMAIL

(para a newsletter não cair no SPAM)