Un operador de ransomware con sede en China ha estado explotando activamente durante la última semana la vulnerabilidad Log4j en VMware Horizon, la plataforma de virtualización de escritorios y aplicaciones, ha advertido Microsoft.
"Basándonos en nuestros análisis, los atacantes están utilizando servidores de comando y control (CnC) que suplantan dominios legítimos", dijo el gigante del software en una adición del 10 de enero a sus actualizaciones continuas de 'Log4Shell'.
Cuando tienen éxito, los ataques -que comenzaron " desde el 4 de enero" - resultan en el despliegue del ransomware NightSky.
NightSky aprovecha el modelo de "doble extorsión" en boga y fue identificado por los investigadores de amenazas de MalwareHunterTeam el 1 de enero.
Microsoft dijo que el grupo de ransomware que dirige los ataques de Horizon, que está rastreando como "DEV-0401", ha desplegado previamente LockFile, AtomSilo, y Rook ransomware, así como explotado CVE-2021-26084 en Atlassian Confluence y CVE-2021-34473 en los servidores de Exchange locales.
Advertencia del NHS
La última alerta de seguridad de Log4j de Microsoft se produce después de que el Servicio Nacional de Salud del Reino Unido (NHS) advirtiera igualmente de un grupo de amenazas desconocido que intentaba introducirse en las redes mediante ataques contra las implantaciones de VMware Horizon que ejecutaban versiones vulnerables de Log4j, una biblioteca de registro Java de código abierto.
En una alerta cibernética de "gravedad media" publicada el 5 de enero, la rama digital del sistema de salud, NHS Digital, dijo que el ataque "utiliza el Protocolo Ligero de Acceso a Directorios (LDAP) para recuperar y ejecutar un archivo de clase Java malicioso que inyecta un shell web en el servicio VM Blast Secure Gateway", con el fin de desplegar ransomware o exfiltrar datos.
En un aviso de seguridad actualizado por última vez el 23 de diciembre, VMWare dijo que el componente HTML Access de Horizon era vulnerable a los exploits Log4Shell y proporcionó medidas de corrección y mitigación.
Amplia superficie de ataque
El fallo de Log4Shell, que ha dado lugar a cuatro parches en Log4j hasta ahora, permite a los ciberdelincuentes lanzar ataques de ejecución remota de código (RCE) contra sistemas vulnerables.
La superficie de ataque es tan amplia que la plataforma de recompensas de errores HackerOne ha recibido casi 1.700 informes de vulnerabilidad de Log4j a más de 400 programas menos de dos semanas después de que el fallo se hiciera público.
Microsoft ha documentado anteriormente ataques de ransomware en servidores de Minecraft a través de Log4Shell y de agentes de acceso que comprometen las redes antes de vender el acceso a afiliados de ransomware como servicio.
"Hemos observado que muchos de los atacantes actuales añaden exploits de estas vulnerabilidades en sus kits de malware y tácticas existentes, desde mineros de monedas hasta ataques con teclado", dijo Microsoft. "Las organizaciones pueden no darse cuenta de que sus entornos pueden estar ya comprometidos.
Microsoft recomienda que los clientes revisen los dispositivos en los que se descubran instalaciones vulnerables y "asuman que la amplia disponibilidad de código de explotación y las capacidades de exploración son un peligro real y presente para sus entornos".
"Debido a la gran cantidad de software y servicios que se ven afectados y dado el ritmo de las actualizaciones, se espera que esto tenga una larga cola para la remediación, lo que requiere una vigilancia continua y sostenible".