Un nuevo ransomware explota vulnerabilidades en Log4j para cifrar servidores de VMware

Una operación de ransomware identificada como Night Sky ha estado infectando múltiples implementaciones de VMware Horizon gracias a la explotación de la vulnerabilidad crítica en Log4j rastreada como CVE-2021-44228. Los actores de amenazas buscan objetivos vulnerables expuestos en línea usando dominios web maliciosos disfrazados como firmas de ciberseguridad y tecnología.

Este grupo de ransomware fue identificado por primera vez a finales de 2021 y parece estar enfocado en el ataque contra redes empresariales. Aunque aún no está claro cuántas víctimas de este grupo existen en todo el mundo, se ha confirmado que los actores de amenazas siempre exigen un rescate de $800,000 USD.

Esta semana, Microsoft también reportó la detección de una campaña asociada a la explotación de esta falla con el fin de comprometer sistemas VMware Horizon, utilizados para la virtualización de aplicaciones en la nube y equipos de escritorio.

Si bien la compañía logró corregir las fallas Log4j en Horizon y emitir soluciones alternativas para los clientes que no pudieran instalar la más reciente versión, aún existen miles de implementaciones vulnerables, lo que facilitaría la infección de ransomware: “Nuestra investigación muestra que las intrusiones exitosas derivadas de este ataque llevaron al despliegue del ransomware NightSky”, señala Microsoft.

Esta operación maliciosa ha sido identificada en ocasiones anteriores distribuyendo otras variantes de ransomware, incluyendo LockFile, AtomSilo y Rook. En estos incidentes, los cibercriminales explotaron de otras fallas conocidas como CVE-2021-26084 y CVE-2021-34473, que residen en implementaciones Confluence y Exchage.

Sobre este vector de ataque, expertos en ciberseguridad mencionan que Log4Shell es un vector de ataque muy atractivo para los hackers debido a que el componente Log4j está presente en toda clase de sistemas informáticos. Además, la explotación del error requiere un esfuerzo mínimo de los hackers y puede desencadenar toda clase de escenarios de riesgo.

La falla puede ser explotada de forma remota en implementaciones vulnerables expuestas en Internet o bien desde una red local, permitiendo a los actores de amenazas locales moverse lateralmente a sistemas internos sensibles.

Uno de los grupos de hacking que comenzó a explotar esta falla fue la operación de ransomware Conti, desplegando ataques masivos apenas un par de días después de la aparición de la prueba de concepto (PoC). Los hackers del ransomware Khonsari también desplegaron ataques vinculados a Log4j a partir de un exploit disponible en GitHub.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).