Уязвимостью Log4Shell вооружились кибервымогатели Conti

Операторы вымогательского ПО Conti стали использовать в своих атаках недавно раскрытую уязвимость Log4Shell. С ее помощью они получают быстрый доступ к внутренним установкам VMware vCenter Server, после чего шифруют виртуальные машины с целью получения выкупа. Таким образом, Conti стала первой «топовой» киберпреступной группировкой, вооружившейся этой уязвимостью.

PoC-эксплоит для уязвимости удаленного выполнения кода в утилите журналирования Log4j ( CVE-2021-44228 ) был опубликован 9 декабря 2021 года, и уже на следующий день начались массовые сканирования интернета на предмет подключенных уязвимых систем. Первыми Log4Shell стали эксплуатировать майнеры криптовалюты, ботнеты и новое семейство вымогательского ПО Khonsari . К 14 декабря список киберпреступников, добавивших Log4Shell в свой арсенал, пополнился APT-группами, работающими на правительство Китая.

Conti, являющаяся одной из крупнейших и влиятельнейших кибервымогательских группировок и насчитывающая десятки активных постоянных участников, обратила свое внимание на Log4Shell 12 декабря. По данным компании Advanced Intelligence (AdvIntel ), целью Conti является боковое перемещение к сетям VMware vCenter.

Поскольку Log4j является очень популярной библиотекой, уязвимость Log4Shell затрагивает продукты десятков производителей, в том числе VMware – проблема затрагивает 40 ее продуктов. Хотя компания выпустила исправления для некоторых из них, патч для vCenter все еще не доступен.

Серверы vCenter как правило не подключаются к открытому интернету, однако злоумышленники могут прибегнуть к некоторым способам и атаковать их через Log4Shell для получения полного контроля над атакуемой системой и/или вызова отказа в обслуживании.

По данным AdvIntel, в атаках через Log4Shell группировка Conti использует публично доступный эксплоит.