Une vulnérabilité critique d’Apache Log4j a pris d’assaut le monde cette semaine, et elle est maintenant utilisée par les acteurs de la menace dans le cadre de leurs attaques de ransomware.
Vendredi dernier, un chercheur a rendu public un exploit pour la vulnérabilité Log4j, baptisé « Log4Shell ». après avoir déjà été vu en train de cibler des serveurs Minecraft vulnérables.
Alors qu’un correctif a été rapidement publié pour corriger la vulnérabilité, les chercheurs et les acteurs de la menace ont rapidement commencé à rechercher et à exploiter les appareils vulnérables. Avec la rapidité avec laquelle il a été adopté, ce n’était qu’une question de temps avant que les acteurs de la menace l’utilisent pour déployer un ransomware.
Cela n’a pas pris longtemps, car les acteurs malveillants ont relancé lundi un ancien logiciel de rançon nommé TellYouThePass et ont commencé à le distribuer via les exploits Log4j.
Peu de temps après, un autre ransomware (ou essuie-glace) appelé Khonsari a été découvert et nous avons appris plus tard qu’il ciblait les serveurs Minecraft vulnérables.
Enfin, un rapport montre aujourd’hui comment le gang de ransomware Conti utilise la vulnérabilité Log4j pour accéder rapidement aux serveurs internes VMWare vCenter afin de chiffrer les machines virtuelles.
Autres nouvelles sur les ransomwares
Alors que la vulnérabilité Log4j a occupé la majeure partie du temps de la communauté de la cybersécurité cette semaine, d’autres développements importants ont également eu lieu.
La police roumaine a arrêté une filiale de ransomware pour piratage et vol d’informations sensibles sur les réseaux de plusieurs entreprises de premier plan dans le monde.
Emotet a également commencé à distribuer des balises Cobalt Strike en tant que charge utile principale, permettant aux gangs de ransomware d’accéder plus rapidement aux réseaux compromis pour mener des attaques.
Nous avons également appris que l’opération Hive Ransomware est en train de devenir un acteur majeur après avoir violé des centaines d’entreprises en seulement quatre mois.
Enfin, une attaque massive de ransomware contre le fournisseur de services RH Kronos a eu un impact significatif sur de nombreuses entreprises qui les utilisent pour la comptabilisation du temps et la paie. Nous avons également assisté à une attaque de Conti contre les brasseries McMenamins, montrant que rien n’est sacré.
Les contributeurs et ceux qui ont fourni de nouvelles informations et histoires sur les ransomwares cette semaine incluent : @LawrenceAbrams, @DanielGallagher, @PolarToffee, @jontvdw, @malwrhunterteam, @demonslay335, @VK_Intel, @malwareforme, @serghei, @Seifree, @FourOctets, @struppigel, @Ionut_Ilascu, @fwosar, @BleepinComputer, @billtoulas, @SANGFOR, @CuratedIntel, @80vul, @1ZRR4H, @AdvIntel, @MsftSecIntel, @GroupIB_GIB, @Bitdefender_Ent, @Cryptolaemus1, @JRoosen, @BroadcomS, @fbgwls245, @Amigo_A_,@JakubKroustek, et @pcrisk.
11 décembre 2021
Nouvelle variante STOP Ransomware
Jakub Kroustek a trouvé une nouvelle variante du ransomware STOP qui ajoute l’extension .yjqs aux fichiers cryptés.
13 décembre 2021
La police arrête un affilié de ransomware à l’origine d’attaques très médiatisées
Les autorités roumaines chargées de l’application des lois ont arrêté une filiale de ransomware soupçonnée d’avoir piraté et volé des informations sensibles sur les réseaux de plusieurs entreprises de premier plan dans le monde, y compris une grande entreprise informatique roumaine avec des clients des secteurs de la vente au détail, de l’énergie et des services publics.
L’attaque du ransomware Kronos peut entraîner des semaines d’arrêt des solutions RH
Le fournisseur de solutions de gestion des effectifs Kronos a subi une attaque de ransomware qui perturbera probablement nombre de ses solutions basées sur le cloud pendant des semaines.
14 décembre 2021
Un nouveau ransomware est désormais déployé dans les attaques Log4Shell
Le premier cas public de la vulnérabilité Log4j Log4Shell utilisée pour télécharger et installer un ransomware a été découvert par des chercheurs.
Nouveau ransomware White Rabbit
Michel Gillespie recherche un échantillon du nouveau ransomware White Rabbit qui ajoute l’extension .scrypt.
15 décembre 2021
Emotet recommence à lâcher Cobalt Strike pour des attaques plus rapides
Juste à temps pour les vacances, le célèbre malware Emotet installe à nouveau directement des balises Cobalt Strike pour des cyberattaques rapides.
Nouvelle variante STOP Ransomware
Risque PC a trouvé une nouvelle variante du ransomware STOP qui ajoute l’extension .Shgv aux fichiers cryptés.
16 décembre 2021
Le ransomware Hive entre dans la cour des grands avec des centaines de piratages en quatre mois
Le gang du ransomware Hive est plus actif et agressif que ne le montre son site de fuite, avec des affiliés attaquant en moyenne trois entreprises chaque jour depuis que l’opération a été connue fin juin.
Les brasseries McMenamins touchées par une attaque de ransomware Conti
La brasserie de Portland et la chaîne hôtelière McMenamins ont subi une attaque de ransomware Conti au cours du week-end qui a perturbé les opérations de l’entreprise.
Microsoft : le ransomware Khonsari frappe les serveurs Minecraft auto-hébergés
Microsoft exhorte les administrateurs des serveurs Minecraft auto-hébergés à passer à la dernière version pour se défendre contre les attaques de ransomware Khonsari exploitant la vulnérabilité de sécurité critique Log4Shell.
Noberus : une analyse technique montre la sophistication du nouveau ransomware basé sur Rust
Symantec, une division de Broadcom Software, suit ce ransomware sous le nom de Ransom.Noberus et nos chercheurs l’ont repéré pour la première fois sur une organisation victime le 18 novembre 2021, avec trois variantes de Noberus déployées par les attaquants au cours de cette attaque. Cela semblerait montrer que ce ransomware était actif plus tôt que ce qui avait été signalé précédemment, MalwareHunterTeam ayant déclaré BipOrdinateur ils ont vu ce ransomware pour la première fois le 21 novembre.
Nouvelle variante STOP Ransomware
PCrisk a trouvé une nouvelle variante du ransomware STOP qui ajoute l’extension .hudf aux fichiers cryptés.
17 décembre 2021
Le ransomware Conti utilise le bug Log4j pour pirater les serveurs VMware vCenter
L’opération de ransomware Conti utilise l’exploit critique Log4Shell pour accéder rapidement aux instances internes de VMware vCenter Server et chiffrer les machines virtuelles.
Un géant de la logistique met en garde contre les e-mails du BEC suite à une attaque de ransomware
Hellmann Worldwide avertit les clients d’une augmentation des appels et des e-mails frauduleux concernant les transferts de paiement et les changements de compte bancaire après une récente attaque de ransomware.
TellYouThePass ransomware relancé sous Linux, attaques Windows Log4j
Les acteurs de la menace ont relancé une ancienne famille de ransomwares relativement inactive connue sous le nom de TellYouThePass, la déployant dans des attaques contre les appareils Windows et Linux ciblant un bug critique d’exécution de code à distance dans la bibliothèque Apache Log4j.
Nouvelle variante de Dharma Ransomware
dnwls0719 a trouvé une nouvelle variante du ransomware Dharma qui ajoute l’extension .C1024 aux fichiers cryptés.