Hackers descobriram exploração do Oracle WebLogic RCE Flaw para espalhar o Ransomware - Anonymous Hacker

[Latest News][10]

Análise de Vulnerabilidade
ANDROID
ANONYMOUS
ANTI-DDOS
ANTI-SPYWARES E ADWARES
APK PRO
APOSTILAS
CIÊNCIA
CURSO PHP
CURSO TCP / IP
CURSOS
CYBORG
CYBORG FALÇÃO
DDOS
DEEPWEB
DICAS
DOCUMENTARIO
DoS
EXPLOIT
FACEBOOK
Ferramentas de rede
FORENSE DIGITAL
INVASÕES
IPHONE
JOGOS
KALI LINUX
Lixão
MAC OS
Malware
MySQL
NOTÍCIAS
PAGINA FAKE
PHP SCRIPT
Programa De Invasao
PROGRAMAÇÃO
PROGRAMAS
PROXY
SCRIPTS
SEGURANÇA
SHELL
SISTEMA OPERACIONAL
TÉCNICA DE INVASÃO
Termux
VIDEOS
VPN
WHATSAPP
WINDOWS
Wireless Attacks
z=

Hackers descobriram exploração do Oracle WebLogic RCE Flaw para espalhar o Ransomware

Hackers descobriram exploração do Oracle WebLogic RCE Flaw para espalhar o Ransomware

Aproveitar as vulnerabilidades recém-divulgadas e até mesmo corrigidas tornou-se comum entre os cibercriminosos, o que faz dela um dos vetores de ataque primários para ameaças cotidianas, como mineração de criptografia, phishing e ransomware.

Como se suspeitava, uma vulnerabilidade crítica recentemente divulgada no amplamente utilizado Oracle WebLogic Server foi agora ativamente explorada para distribuir uma variante de ransomware nunca antes vista, que os pesquisadores apelidaram de " Sodinokibi ".

No último final de semana, o The Hacker News aprendeu sobre uma vulnerabilidade crítica de execução remota de código de desserialização no Oracle WebLogic ServerIsso poderia permitir que invasores executassem remotamente comandos arbitrários nos servidores afetados apenas enviando uma solicitação HTTP especialmente criada - sem exigir nenhuma autorização. Para resolver essa vulnerabilidade (CVE-2019-2725), que afetou todas as versões do software Oracle WebLogic e recebeu uma pontuação de severidade de 9,8 de 10, a Oracle lançou uma atualização de segurança fora de banda em 26 de abril. dia após a vulnerabilidade ter sido divulgada e vários ataques in-the-wild foram observados. De acordo com pesquisadores de segurança cibernética da equipe de pesquisa de ameaças da Cisco Talos, um grupo desconhecido de hackers vem explorando essa vulnerabilidade desde pelo menos 25 de abril para infectar servidores vulneráveis ​​com um novo malware ransomware.

Hackers descobriram exploração do Oracle WebLogic RCE Flaw para espalhar o Ransomware

O Sodinokibi é uma variante ransomware perigosa que foi projetada para criptografar arquivos no diretório de um usuário e, em seguida, excluir backups de cópias de sombra do sistema em um esforço para impedir que as vítimas recuperem seus dados sem pagar um resgate.

Nenhuma interação necessária para implantar o Ransomware


Como os invasores estão aproveitando uma vulnerabilidade de execução remota de código no WebLogic Server, ao contrário dos ataques típicos de ransomware, a implantação do ransomware Sodinokibi não exige interação do usuário.

"Historicamente, a maioria das variedades de ransomware ter exigido algum tipo de interação com o usuário, como um usuário abrir um anexo a uma mensagem de e-mail, clicar em um link malicioso, ou executando um pedaço de malware no dispositivo," investigadores explicam em um post de blog .

"Nesse caso, os invasores simplesmente aproveitaram a vulnerabilidade do Oracle WebLogic, fazendo com que o servidor afetado baixasse uma cópia do ransomware de endereços IP controlados pelo invasor."


Uma vez baixado, o ransomware Sodinokibi criptografa os sistemas da vítima e exibe uma nota de resgate exigindo até US $ 2.500 em Bitcoin. O valor dobra para US $ 5.000 se o resgate não for pago dentro de um determinado número de dias - o que pode variar de dois dias a seis dias.

Hackers também estão instalando o GandCrab Ransomware


Os pesquisadores também notaram que cerca de oito horas após a implantação do Sodinokibi em um sistema infectado, os invasores exploraram a mesma vulnerabilidade do WebLogic Server para instalar outro ransomware conhecido como GandCrab (v5.2).


Hackers descobriram exploração do Oracle WebLogic RCE Flaw para espalhar o Ransomware

"Achamos estranho que os atacantes optem por distribuir ransomware adicional e diferente no mesmo alvo", dizem os pesquisadores. "Sodinokibi sendo um novo sabor de ransomware, talvez os atacantes sentiram que suas tentativas anteriores não tinham sido bem-sucedidas e ainda estavam procurando ganhar dinheiro distribuindo Gandcrab."

Os atacantes vêm explorando a vulnerabilidade do Oracle WebLogic Server em funcionamento desde 17 de abril, no mínimo, para distribuir mineradores de criptomoeda e outros tipos de malware .

O WebLogic Server é um popular servidor de aplicativos corporativos multicamadas baseado em Java, normalmente usado por empresas para suportar aplicativos corporativos, o que o torna um alvo frequente de invasores que tentam executar operações maliciosas, como executar minas de criptomoeda e infectar com ransomware.

As organizações que usam o Oracle WebLogic Server devem atualizar suas instalações para a versão mais recente do software o mais rápido possível.


Sobre

trabalho com segurança da informação a 13 anos, grande parte desse tempo como professor. Fiz meu bacharelado em ciência da computação, especialização em segurança da informação e logo após, mestrado em ciência da informação.

Nenhum comentário:

Postar um comentário

Start typing and press Enter to search