Na última terça-feira (14), pesquisadores tiveram acesso ao primeiro caso de ransomware, aplicado por meio da falha Log4J – qual você entende melhor acessando nossa última publicação aqui na Truppe. Além disso, o ataque mostrou uma nova família de pragas, focada em sequestro digital, denominada Khonsari.
Pode-se dizer que este funciona como um sinal de alerta a mais para os especialistas em segurança, conforme se espalham pelo mundo, ataques relacionados à falha em um sistema de registro de aplicações Java. A partir dele, é possível executar códigos maliciosos e acessar servidores remotos que baixaram e instalaram o ransomware responsável pelo tratamento dos sistemas.
Outro ponto que chamou a atenção de especialistas, entretanto, foi o fato de que tanto o título do ransomware, quanto informações de contato, pertencem a uma loja de antiguidades em Louisiana. A informação de que essa foi a primeira vítima ainda não é concreta. A ideia de que não existe um meio legítimo de negociar e pagar criminosos responsáveis deixaria claro que a exploração se trata de um teste.
Quem deu o primeiro alerta foi a BitDefender, que também indicou o uso da vulnerabilidade Log4J para entrega de trojans de acesso remoto Orcus, que, no caso, também poderiam ser usados em novas explorações com ransomware e outras pragas. De qualquer forma, ainda há uma apuração do site Bleeping Computer, aponta detecções de uso da abertura para a entrega de sinais Cobalt Strike, também com o mesmo intuito
Por fim, recomenda-se atualizar todo e qualquer sistema que tenha o recurso de registro implementado, o que acaba não sendo tão simples assim, devido a popularidade da solução de código aberto e à sua presença em plataformas altamente autorizadas. Ainda assim, o caminho é a realização de auditorias de software para encontrar possíveis pontos de entrada e o uso de aplicações de segurança que ajudam a identificar aberturas e mitigar ataques.
