Le gang de ransomware Night Sky a commencé à exploiter la vulnérabilité critique CVE-2021-44228 dans la bibliothèque de journalisation Log4j, également connue sous le nom de Log4Shell, pour accéder aux systèmes VMware Horizon.
L’acteur de la menace cible des machines vulnérables exposées sur le Web public à partir de domaines qui se font passer pour des entreprises légitimes, certaines d’entre elles dans les secteurs de la technologie et de la cybersécurité.
Les attaques ont commencé début janvier
Repéré fin décembre 2021 par le chercheur en sécurité MalwareHunterTeam, le ransomware Night Sky se concentre sur le verrouillage des réseaux d’entreprise. Il a crypté plusieurs victimes, demandant une rançon de 800 000 $ à l’une d’entre elles.
Lundi, Microsoft a posté un avertissement à propos d’une nouvelle campagne d’un acteur basé en Chine qu’il suit sous le nom de DEV-0401 pour exploiter la vulnérabilité Log4Shell sur les systèmes VMware Horizon exposés sur Internet et déployer le ransomware Night Sky.
VMware Horizon est utilisé pour la virtualisation des postes de travail et des applications dans le cloud, permettant aux utilisateurs d’y accéder à distance via un client dédié ou un navigateur Web.
C’est également une solution pour les administrateurs pour une meilleure gestion, une meilleure conformité en matière de sécurité et une automatisation sur l’ensemble du parc de systèmes virtuels.
VMware a corrigé Log4Shell dans les produits Horizon et fourni solutions de contournement pour les clients qui n’ont pas pu installer la nouvelle version contenant le correctif (2111, 7.13.1, 7.10.3). Cependant, certaines entreprises n’ont pas encore appliqué le correctif.
« Dès le 4 janvier, des attaquants ont commencé à exploiter la vulnérabilité CVE-2021-44228 dans les systèmes Internet exécutant VMware Horizon. Notre enquête montre que des intrusions réussies dans ces campagnes ont conduit au déploiement du ransomware NightSky » Microsoft
La société ajoute que le groupe est connu pour avoir déployé d’autres familles de ransomwares dans le passé, telles que LockFile, AtomSilo et Rook.
Les attaques précédentes de cet acteur ont également exploité des problèmes de sécurité dans les systèmes connectés à Internet tels que Confluence (CVE-2021-26084) et les serveurs Exchange sur site (CVE-2021-34473 – ProxyShell). On pense que Night Sky est une continuation des opérations de ransomware susmentionnées.
Microsoft note que les opérateurs de ransomware Night Sky s’appuient sur des serveurs de commande et de contrôle qui se font passer pour des domaines utilisés par des sociétés légitimes telles que les sociétés de cybersécurité Sophos, Trend Micro, les sociétés technologiques Nvidia et Rogers Corporation.
Vecteur d’attaque attrayant
Log4Shell est un vecteur d’attaque attrayant pour les pirates informatiques et les cybercriminels, car le composant open source Log4J est présent dans un large éventail de systèmes de dizaines de fournisseurs.
Exploiter le bug pour réaliser l’exécution de code sans authentification nécessite un effort minimum. Un acteur malveillant peut initier un rappel ou une demande à un serveur malveillant qui passe n’a besoin que de visiter un site ou de rechercher une chaîne spécifique pour provoquer un rappel de serveur vers un emplacement malveillant.
La faille de sécurité peut être exploitée à distance sur des machines vulnérables exposées sur l’internet public ou depuis le réseau local, par un adversaire local pour se déplacer latéralement vers des systèmes internes sensibles.
L’un des premiers gangs de ransomware « de haut niveau » à intégrer Log4Shell dans leurs attaques est Conti, qui a manifesté son intérêt en tant que voie d’attaque potentielle le 12 décembre, trois jours seulement après le premier exploit de preuve de concept (PoC). est devenu public.
Un autre gang de ransomware, un nouveau venu appelé Khonsari, a commencé à exploiter l’exploit dès le lendemain de l’apparition du PoC sur GitHub.
Dans les jours qui ont suivi sa divulgation, plusieurs acteurs de la menace ont commencé à exploiter le bug Log4j. Les premiers à en profiter ont été les mineurs de crypto-monnaie, suivis de pirates informatiques soutenus par l’État et de gangs de rançongiciels.