A vulnerabilidade crítica do Apache Log4j 2 está abrindo caminho para hackers patrocinados pelo estado roubarem dados e lançarem ataques de ransomware, de acordo com a Microsoft.
Na terça, a empresa advertido ele observou grupos de hackers de estados-nações da China, Irã, Coréia do Norte e Turquia tentando explorar a falha do Log4j 2. Suas atividades incluem experimentar o bug e abusar da falha para descartar cargas maliciosas e extrair dados das vítimas.
De acordo com a Microsoft, um grupo de hackers iraniano, apelidado de Phosphorus ou Charming Kitten, supostamente está explorando o Log4j 2 para espalhar ransomware. Um grupo separado da China chamado Hafnium foi observado aproveitando a vulnerabilidade para ajudá-lo a atingir vítimas em potencial.
“Nesses ataques, os sistemas associados ao Hafnium foram observados usando um serviço DNS normalmente associado à atividade de teste para sistemas de impressão digital”, disse a Microsoft.
A vulnerabilidade está despertando o alarme porque o software Log4j 2 da Apache é usado em todo o setor da Internet como uma ferramenta para registrar alterações em um software ou aplicativo da web. Ao explorar a falha, um hacker pode invadir um sistema de TI para roubar dados ou executar um programa malicioso. Não ajudando o problema é como a falha é trivial de configurar, tornando muito fácil para qualquer um explorá-la.
O relatório da Microsoft ressalta a necessidade de todo o setor de tecnologia corrigir a falha antes que o caos aconteça. A empresa não identificou os grupos de hackers patrocinados pelo Estado da Coreia do Norte ou da Turquia. Mas a Microsoft acrescentou que outros grupos de criminosos cibernéticos, chamados de “corretores de acesso”, foram vistos explorando o bug Log4j 2 para ganhar espaço nas redes.
Recomendado por nossos editores
“Esses corretores de acesso vendem acesso a essas redes para afiliados de ransomware como serviço”, disse a Microsoft. “Observamos esses grupos tentando explorar os sistemas Linux e Windows, o que pode levar a um aumento no impacto do ransomware operado por humanos em ambas as plataformas de sistemas operacionais”.
Outras empresas de segurança cibernética, incluindo a Mandiant, também identificaram grupos de hackers patrocinados pelo Estado da China e do Irã visando a falha. “Prevemos que outros atores estatais também estejam fazendo isso ou se preparando para fazê-lo”, disse o vice-presidente de análise de inteligência da Mandiant, John Hultquist. “Acreditamos que esses atores trabalharão rapidamente para criar pontos de apoio em redes desejáveis para atividades de acompanhamento, que podem durar algum tempo.”
Gosta do que você está lendo?
Registe-se para Vigilância de segurança newsletter para nossas principais histórias de privacidade e segurança entregues diretamente na sua caixa de entrada.
Este boletim informativo pode conter publicidade, negócios ou links de afiliados. A assinatura de um boletim informativo indica seu consentimento com o nosso Termos de Uso e Política de Privacidade. Você pode cancelar a assinatura dos boletins informativos a qualquer momento.