Do not speak Portuguese? Translate this site with Google or Bing Translator

Vulnerabilidade Log4j sendo usada para hackear servidores vCenter da VMware

Confira detalhes de relatos da vulnerabilidade Log4j sendo usada para hackear servidores vCenter da VMware, pelo Conti ransomware.

A operação do Conti ransomware está usando a exploração crítica do Log4Shell para obter acesso rápido às instâncias internas do VMware vCenter Server e criptografar as máquinas virtuais.

Vulnerabilidade Log4j sendo usada para hackear servidores vCenter da VMware

Vulnerabilidade Log4j sendo usada para hackear servidores vCenter da VMware
Vulnerabilidade Log4j sendo usada para hackear servidores vCenter da VMware

A gangue não perdeu muito tempo adotando o novo vetor de ataque e é a primeira operação de “nível superior” conhecida por transformar a vulnerabilidade Log4j em uma arma.

Um exploit de prova de conceito (PoC) para CVE-2021-44228 – também conhecido como Log4Shell – surgiu no espaço público em 9 de dezembro.

Um dia depois, a varredura em massa da Internet começou, com vários atores em busca de sistemas vulneráveis. Entre os primeiros a alavancar o bug estavam mineradores de criptomoedas, botnets e uma nova cepa de ransomware chamada Khonsari.

Em 15 de dezembro, a lista de agentes de ameaças usando Log4Shell se expandiu para hackers apoiados pelo estado e corretores de acesso inicial que normalmente vendem acesso à rede para gangues de ransomware.

Conti, uma das maiores e mais prolíficas gangues de ransomware da atualidade, com dezenas de membros ativos em tempo integral, parece ter se interessado pelo Log4Shell desde o início, vendo-o como uma possível via de ataque no domingo, 12 de dezembro.

A gangue começou a procurar novas vítimas no dia seguinte, seu objetivo era o movimento lateral para redes VMware vCenter, cibercrime e empresa de disrupção adversária Advanced Intelligence (AdvIntel) compartilhada com o site BleepingComputer.

Dezenas de fornecedores foram afetados pelo Log4Shell e correram para corrigir seus produtos ou fornecer soluções alternativas e atenuantes para os clientes. VMware é um deles, listando 40 produtos vulneráveis.

Embora a empresa tenha fornecido atenuações ou correções, um patch para as versões afetadas do vCenter ainda não foi disponibilizado.

Os servidores vCenter normalmente não são expostos à Internet pública; há cenários em que um invasor pode explorar o problema:

“Um agente malicioso com acesso à rede para um produto VMware impactado pode explorar esse problema para obter controle total do sistema de destino e/ou realizar um ataque de negação de serviço.”, VMware

AdvIntel diz que os membros da gangue Conti ransomware mostraram interesse em alavancar o Log4Shell para suas operações usando o exploit público.

Em um relatório compartilhado com a BleepingComputer, a empresa observa que “esta é a primeira vez que essa vulnerabilidade entrou no radar de um grande grupo de ransomware”.

“A exploração atual levou a vários casos de uso por meio dos quais o grupo Conti testou as possibilidades de utilização do exploit Log4J.” AdvIntel

Enquanto a maioria dos defensores se concentra em bloquear ataques Log4Shell em dispositivos expostos à Internet, a operação do Conti ransomware mostra como a vulnerabilidade pode ser usada para visar dispositivos internos que podem não receber tanta atenção.

Vulnerabilidade Log4j sendo usada para hackear servidores vCenter da VMware
Vulnerabilidade Log4j sendo usada para hackear servidores vCenter da VMware

Os pesquisadores confirmaram que as afiliadas do Conti ransomware já haviam comprometido as redes alvo e explorado máquinas Log4j vulneráveis ​​para obter acesso aos servidores vCenter.

Isso significa que os membros do Conti ransomware dependiam de um vetor de acesso inicial diferente (RDP, VPN, phishing de e-mail) para comprometer uma rede e estão atualmente usando o Log4Shell para mover-se lateralmente na rede.

Vulnerabilidade Log4j sendo usada para hackear servidores vCenter da VMware
Vulnerabilidade Log4j sendo usada para hackear servidores vCenter da VMware

Conti é um grupo de língua russa que está no jogo do ransomware há muito tempo, sendo o sucessor do infame Ryuk.

A gangue é responsável por centenas de ataques, apenas seu site de vazamento de dados listando mais de 600 empresas vítimas que não pagaram resgate. A esses são adicionados outras empresas que pagaram ao ator para ter seus dados descriptografados.

A empresa de segurança cibernética Group-IB estima que cerca de 30% das vítimas de ransomware optam por pagar para restaurar seus arquivos usando a ferramenta de descriptografia do invasor.

Recentemente, o Australian Cyber ​​Security Center (ACSC) publicou um alerta sobre o Conti ransomware direcionado a várias organizações no país. Uma das vítimas era a fornecedora de eletricidade CS Energy.

A Frontier Software, um provedor de software de folha de pagamento usado pelo governo australiano, também foi atingido por Conti, a violação levando a expor os dados de dezenas de milhares de funcionários do governo.

Mais recentemente, o site BleepingComputer soube que a gangue atingiu a McMenamins, uma cervejaria e rede de hotéis em Oregon (Portland) e Washington, EUA.

O Conti ransomware opera com este nome desde junho de 2020. De acordo com informações da AdvIntel, o grupo extorquiu mais de US$ 150 milhões de suas vítimas nos últimos seis meses.

Sobre o Edivaldo Brito

Edivaldo Brito é analista de sistemas, gestor de TI, blogueiro e também um grande fã de sistemas operacionais, banco de dados, software livre, redes, programação, dispositivos móveis e tudo mais que envolve tecnologia.