Un nouveau ransomware est désormais déployé dans les attaques Log4Shell

Log4Shell

Le premier cas public de la vulnérabilité Log4j Log4Shell utilisée pour télécharger et installer un ransomware a été découvert par des chercheurs.

Vendredi dernier, un exploit public a été publié pour une vulnérabilité critique du jour zéro nommée « Log4Shell » dans la plate-forme de journalisation Apache Log4j Java. Log4j est un framework de développement qui permet aux développeurs d’ajouter la journalisation des erreurs et des événements dans leurs applications Java.

La vulnérabilité permet aux acteurs malveillants de créer des chaînes JNDI spéciales qui, lorsqu’elles sont lues par Log4j, obligent la plate-forme à se connecter et à exécuter du code à l’URL incluse. Cela permet aux attaquants de détecter facilement les appareils vulnérables ou d’exécuter du code fourni par un site distant ou via des chaînes encodées en Base64.

Bien que cette vulnérabilité ait été corrigée dans Log4j 2.15.0 et même renforcé dans Log4j 2.16.0, il est largement exploité par les acteurs de la menace pour installer divers logiciels malveillants, notamment des mineurs de pièces, des botnets et même des balises Cobalt Strike.

Premier exploit Log4j installant un ransomware

Hier, BitDefender a signalé qu’ils ont trouvé la première famille de ransomwares installée directement via les exploits Log4Shell.

L’exploit télécharge une classe Java depuis hxxp://3.145.115[.]94/Main.class qui est chargé et exécuté par l’application Log4j.

Une fois chargé, il téléchargerait un binaire .NET à partir du même serveur pour installer un nouveau ransomware [VirusTotal] nommé ‘Khonsari.’

Ce même nom est également utilisé comme extension pour les fichiers cryptés et dans la demande de rançon, comme indiqué ci-dessous.

Demande de rançon de Khonsari
Demande de rançon de Khonsari
Site : BleepingOrdinateur

Lors d’attaques ultérieures, BitDefender a remarqué que cet acteur malveillant utilisait le même serveur pour distribuer le cheval de Troie d’accès à distance Orcus.

Probablement un essuie-glace

L’expert en ransomware Michael Gillespie a déclaré à EZpublish-france.fr que Khonsari utilise un cryptage valide et est sécurisé, ce qui signifie qu’il n’est pas possible de récupérer des fichiers gratuitement.

Cependant, la demande de rançon présente une particularité : elle ne semble pas inclure un moyen de contacter l’auteur de la menace pour payer une rançon.

Analyste Emsisoft Brett Callow a souligné à EZpublish-france.fr que le ransomware porte le nom et utilise les coordonnées d’un propriétaire d’un magasin d’antiquités de Louisiane plutôt que l’acteur de la menace.

Par conséquent, il n’est pas clair si cette personne est la victime réelle de l’attaque de ransomware ou répertoriée comme un leurre.

Quelle que soit la raison, comme il ne contient pas d’informations de contact légitimes pour les acteurs de la menace, nous pensons qu’il s’agit d’un essuie-glace plutôt que d’un ransomware.

Bien qu’il s’agisse peut-être de la première instance connue de l’exploit Log4j installant directement un ransomware (wiper ?), Microsoft a déjà vu les exploits utilisés pour déployer des balises Cobalt Strike.

Par conséquent, il est probable que des opérations de ransomware plus avancées utilisent déjà les exploits dans le cadre de leurs attaques.