Conti ransomware está explotando la vulnerabilidad log4shell por una suma de millones

Log4Shell es un problema de seguridad peligroso, y ahora Conti, un destacado grupo de ransomware, lo está explotando para atacar servidores vulnerables y extorsionar millones de dólares.

Imagen: Shutterstock / Khakimullin Aleksandr

Log4Shell es la vulnerabilidad más severa que afecta a los sistemas a fines de 2021. Desde su exposición pública el 9 de diciembre, la industria de la seguridad ha trabajado arduamente para tratar de parchear y protegerse contra ella. Pero, efectivamente, los ciberdelincuentes han comenzado a usarlo, y era solo cuestión de tiempo antes de que uno de los grupos de ransomware más activos comenzara a explotarlo también.

¿Qué es la vulnerabilidad Log4Shell?

La vulnerabilidad Log4Shell (CVE-2021-44228) afecta la biblioteca de Java log4j, que es utilizada por una gran cantidad de software. Millones de sistemas en todo el mundo utilizan una versión vulnerable de esta biblioteca y están en riesgo.

El proveedor de seguridad Cloudflare dice en una publicación de blog que está viendo el patrón de explotación en los archivos de registro hasta 1,000 veces por segundo.

Lo que lo hace tan severo es que permite a un atacante lanzar fácilmente código remoto en la máquina que ejecuta la biblioteca vulnerable. No se necesitan muchas habilidades técnicas para explotarlo, por lo que es accesible para cualquier tipo de atacante, técnicamente bueno o no.

VER: Marco de ciberseguridad del NIST: una hoja de trucos para profesionales (PDF gratuito) (TechRepublic)

Conti ransomware

AdvIntel informó que una semana después de que la vulnerabilidad se hiciera pública, comenzó a ser utilizada por uno de los grupos de ransomware de habla rusa organizados más prolíficos: Conti.

La organización detrás del ransomware Conti está bien estructurada. Su modelo de negocio es proporcionar el ransomware como servicio (RaaS) de Conti. En este modelo, los ciberdelincuentes que operan Conti permiten a los afiliados usarlo como lo deseen, siempre que se comparta con ellos un porcentaje del pago del rescate.

Entre julio y noviembre de 2021, se estima que el grupo recibió $ 25,5 millones de pagos de rescate, según las investigaciones de transacciones de criptomonedas de la empresa suiza PRODAFT, mientras que AdvIntel estima que Conti ganó más de $ 150 millones en los últimos seis meses.

Conti utiliza el esquema de «doble extorsión»: si las empresas no pagan el rescate, no solo se pierden sus datos, sino que también se exponen públicamente en Internet o se venden a la competencia, ya que el grupo se encargó de exfiltrar todos los datos cifrados en su infraestructura.

El conocimiento sobre el grupo Conti aumentó repentinamente cuando un afiliado descontento de la estructura filtró repentinamente material de Conti. La filtración contenía documentos en su mayoría escritos en cirílico y expuso un libro de jugadas completo para comprometer a las empresas e infectarlas con ransomware, lo que hace que sea incómodamente fácil para cualquier pirata informático que hable el idioma, incluso con poca seguridad y habilidades de red.

El grupo Conti parece estar interesado en encontrar siempre nuevas formas de infectar a las empresas y difundir su ransomware, ya que a menudo han aprovechado las vulnerabilidades como vectores de compromiso iniciales.

Cronología del grupo Conti para la búsqueda de nuevos vectores de exploits

Imagen: AdvIntel

Utilizando la vulnerabilidad Log4Shell, el grupo apuntó específicamente a los servidores VMware vCenter. El exploit se utilizó para obtener acceso al servidor y luego poder moverse lateralmente a través de la red de la empresa objetivo. Esta es una diferencia notable en comparación con otros exploits que podrían usar: este está dedicado a moverse lateralmente dentro de la red comprometida; los atacantes ya han obtenido con éxito el acceso inicial a la red corporativa.

Este es, con mucho, el uso más grande y lucrativo de la vulnerabilidad Log4Shell, ya que las consecuencias de su uso podrían ser que más empresas tengan sus negocios interrumpidos. Algunos de ellos probablemente opten por pagar el rescate para volver a la normalidad y no tener sus datos expuestos en Internet.

Los ciberdelincuentes también podrían pensar en otras formas de explotar la vulnerabilidad de Log4Shell, ya que otro software que no sea vCenter es vulnerable, incluso para la etapa inicial de compromiso de sus ataques.

VER: Política de gestión de parches (TechRepublic Premium)

Cómo protegerse de los ataques Log4Shell

VMware ya proporcionó instrucciones para abordar la vulnerabilidad en los servidores vCenter y vCenter Cloud Gateways.

Mucho más software es vulnerable. Se recomienda comprobar periódicamente si hay actualizaciones sobre productos vulnerables y aplicar parches o implementar soluciones lo antes posible. US CISA proporciona una lista completa del software afectado.

Varias empresas de seguridad proporcionan el software de prueba específico de Log4Shell para el personal de TI que desea comprobar si sus sistemas se ven afectados y pueden utilizarse para detectar sistemas vulnerables.

Cybereason ofrece una «vacuna» para evitar que se active la vulnerabilidad, pero debe verse solo como una medida temporal hasta que todos los sistemas estén parcheados.

Cómo protegerse del ransomware

Mantenga todos los sistemas y el software actualizados. Lleve a cabo auditorías de seguridad y solucione cualquier problema de seguridad que surja. Realice copias de seguridad periódicas, pero manténgalas fuera de línea tanto como sea posible, ya que el ransomware a menudo busca sistemas de copia de seguridad y los destruye. Reduzca la superficie de ataque con cuidado. deshabilitando cualquier protocolo o sistema que no sea necesario. Por ejemplo, si no se necesita FTP en algún lugar, desactívelo. Habilite la autenticación de doble factor (2FA) siempre que sea posible, especialmente para conexiones de acceso remoto. Restrinja los privilegios de los usuarios solo al contenido que necesitan para funcionar. Utilice sistemas de prevención de intrusiones (IPS). / sistemas de detección de intrusiones (IDS). Ejecutar programas de concienciación sobre seguridad para todos los empleados.

Divulgar: Trabajo para Trend Micro, pero las opiniones expresadas en este artículo son mías.

Ver también