Kerentanan Log4j begitu kuat sehingga tampaknya telah membawa banyak aktor jahat yang sudah pensiun dan tidak aktif keluar dari masalah.
Beberapa peneliti keamanan dunia maya, termasuk dari Sophos dan Curated Intelligence, sekarang mengatakan bahwa mereka telah melihat percobaan distribusi TellYouThePass, sebuah ransomware lama (terbuka di tab baru) ketegangan yang dianggap tidak aktif, melalui kerentanan Log4Shell.
Menurut para peneliti, ransomware, yang terakhir terlihat pada Juli 2020, digunakan untuk menyerang target di China, AS, dan Eropa, termasuk layanan cloud Amazon dan Google. Pelaku jahat menargetkan perangkat Windows dan Linux, dengan versi yang terakhir dapat mencuri kunci Secure Socket Shell (SSH) dan melakukan gerakan lateral.
Ancaman masuk?
Menyalahgunakan Log4j untuk mendistribusikan ransomware belum begitu meluas, kata para peneliti, mencatat bahwa mereka belum mengamati aktivitas apa pun dari ransomware yang digunakan dengan cara ini.
Namun, itu tidak berarti operator ransomware tidak bergerak ke arah itu. Itu bisa berarti bahwa mereka masih dalam tahap pengintaian, bergerak melalui jaringan yang disusupi, memetakan titik akhir (terbuka di tab baru) dan mengidentifikasi data kunci.
Berbicara kepada VentureBeatkata peneliti ancaman Cisco Talos, Chris Neal, mencegah deteksi malware (terbuka di tab baru) sangat penting bagi pelaku jahat pada saat ini: “Setelah akses awal, penyerang ini umumnya akan memilih untuk bertahan, dan kemudian meminimalkan jejak mereka untuk mencegah deteksi dan melakukan pengintaian,” kata Neal. “Jenis perilaku ini mungkin menjelaskan kurangnya kampanye ransomware yang menggunakan exploit ini untuk diamati.”
Beranjak dari cryptomining
Untuk saat ini, cryptomining tampaknya menjadi cara paling populer untuk menyalahgunakan cacat log4j, tetapi dengan ransomware yang menawarkan ROI yang jauh lebih tinggi – dan lebih cepat -, peneliti mengharapkan pelaku ancaman untuk berputar dengan cepat.
“Beberapa dari hal-hal kecil ini, seperti penambang crypto, dapat berakhir hanya dengan serangan tahap pertama,” Roger Koehler, wakil presiden operasi ancaman di Huntress, mengatakan kepada VentureBeat. “Karena mereka bisa pergi dan menjual akses itu di pasar gelap. Dan seseorang yang lebih besar dan lebih buruk dapat membelinya dan melakukan sesuatu yang lebih merugikan, seperti serangan ransomware.”
Pada akhirnya, “para penambang crypto itu mungkin tampak kecil, tetapi itu bisa meningkat menjadi sesuatu yang lebih besar.”
- Anda mungkin juga ingin melihat daftar firewall terbaik kami saat ini
Melalui: VentureBeat (terbuka di tab baru)