Il ransomware NightSky sfrutta Log4shell e prende di mira VMware Horizon
La grave vulnerabilità Log4shell individuata lo scorso mese è attualmente sfruttata da gruppi ransomware asiatici che prendono di mira Horizon di VMware con l’obiettivo di installare NightSky, una nuova famiglia ransomware emersa alla fine di dicembre.
E’ Microsoft a confermare quanto sta accadendo, avendo osservato già dal 4 gennaio lo sfruttamento della vulnerabilità nei sistemi connessi a Internet e che eseguono VMware Horizon. Sono stati registrati attacchi andati a segno che hanno condotto alla distribuzione di NightSky.
Quanto evidenziato da Microsoft va ad aggiungersi al quadro delineato la scorsa settimana a carico del servizio sanitario nazionale del Regno Unito, dove gli aggressori informatici hanno preso di mira sempre VMware Horizon, questa volta allo scopo di installare un file Java che inietta una shell Web nel servizio VM Blast Secure Gateway.
Microsoft sottolinea che gli attacchi sono stati eseguiti da un operatore ransomware con sede in Cina, tracciato come DEV-0401, e che in precedenza si è già mostrato parte attiva nella distribuzione di altre minacce quali LockFile, AtomSilo e Rook. Come dicevamo, NightSky è stato identificato come nuovo gruppo di ransomware lo scorso 27 dicembre, anche se alcune analisi sostengono che si tratti solamente di una nuova versione di Rook. NightSky sfrutta un meccanismo a “doppia estorsione” dove non solo vengono crittografati i file della vittima, ma vengono anche sottratti dietro la minaccia di pubblicazione se non viene pagato il riscatto.
La vulnerabilità a carico di Log4j rappresenta una situazione particolarmente complessa e ad elevato rischio: come già abbiamo avuto modo di notare in precedenza la diffusione di Log4j rende particolarmente difficile per aziende e organizzazioni riuscire a capire quali prodotti e servizi siano interessati dal problema, senza contare che data la semplicità di sfruttamento della vulnerabilità, molti attori di minaccia potrebbero già aver preso posto all’interno di sistemi e reti prima dell’applicazione delle patch correttive, e restare inattivi in attesa del momento più propizio per causare il danno maggiore.
Fonte: http://feeds.hwupgrade.it/