Aproveitar as vulnerabilidades recém-divulgadas e até mesmo corrigidas tornou-se comum entre os cibercriminosos, o que faz dela um dos vetores de ataque primários para ameaças cotidianas, como mineração de criptografia, phishing e ransomware.
Como se suspeitava, uma vulnerabilidade crítica recentemente divulgada no amplamente utilizado Oracle WebLogic Server foi agora ativamente explorada para distribuir uma variante de ransomware nunca antes vista, que os pesquisadores apelidaram de " Sodinokibi ".
No último final de semana, o The Hacker News aprendeu sobre uma vulnerabilidade crítica de execução remota de código de desserialização no Oracle WebLogic ServerIsso poderia permitir que invasores executassem remotamente comandos arbitrários nos servidores afetados apenas enviando uma solicitação HTTP especialmente criada - sem exigir nenhuma autorização. Para resolver essa vulnerabilidade (CVE-2019-2725), que afetou todas as versões do software Oracle WebLogic e recebeu uma pontuação de severidade de 9,8 de 10, a Oracle lançou uma atualização de segurança fora de banda em 26 de abril. dia após a vulnerabilidade ter sido divulgada e vários ataques in-the-wild foram observados. De acordo com pesquisadores de segurança cibernética da equipe de pesquisa de ameaças da Cisco Talos, um grupo desconhecido de hackers vem explorando essa vulnerabilidade desde pelo menos 25 de abril para infectar servidores vulneráveis com um novo malware ransomware.
Como se suspeitava, uma vulnerabilidade crítica recentemente divulgada no amplamente utilizado Oracle WebLogic Server foi agora ativamente explorada para distribuir uma variante de ransomware nunca antes vista, que os pesquisadores apelidaram de " Sodinokibi ".
No último final de semana, o The Hacker News aprendeu sobre uma vulnerabilidade crítica de execução remota de código de desserialização no Oracle WebLogic ServerIsso poderia permitir que invasores executassem remotamente comandos arbitrários nos servidores afetados apenas enviando uma solicitação HTTP especialmente criada - sem exigir nenhuma autorização. Para resolver essa vulnerabilidade (CVE-2019-2725), que afetou todas as versões do software Oracle WebLogic e recebeu uma pontuação de severidade de 9,8 de 10, a Oracle lançou uma atualização de segurança fora de banda em 26 de abril. dia após a vulnerabilidade ter sido divulgada e vários ataques in-the-wild foram observados. De acordo com pesquisadores de segurança cibernética da equipe de pesquisa de ameaças da Cisco Talos, um grupo desconhecido de hackers vem explorando essa vulnerabilidade desde pelo menos 25 de abril para infectar servidores vulneráveis com um novo malware ransomware.
O Sodinokibi é uma variante ransomware perigosa que foi projetada para criptografar arquivos no diretório de um usuário e, em seguida, excluir backups de cópias de sombra do sistema em um esforço para impedir que as vítimas recuperem seus dados sem pagar um resgate.
Nenhuma interação necessária para implantar o Ransomware
Como os invasores estão aproveitando uma vulnerabilidade de execução remota de código no WebLogic Server, ao contrário dos ataques típicos de ransomware, a implantação do ransomware Sodinokibi não exige interação do usuário.
"Historicamente, a maioria das variedades de ransomware ter exigido algum tipo de interação com o usuário, como um usuário abrir um anexo a uma mensagem de e-mail, clicar em um link malicioso, ou executando um pedaço de malware no dispositivo," investigadores explicam em um post de blog .
"Nesse caso, os invasores simplesmente aproveitaram a vulnerabilidade do Oracle WebLogic, fazendo com que o servidor afetado baixasse uma cópia do ransomware de endereços IP controlados pelo invasor."
Uma vez baixado, o ransomware Sodinokibi criptografa os sistemas da vítima e exibe uma nota de resgate exigindo até US $ 2.500 em Bitcoin. O valor dobra para US $ 5.000 se o resgate não for pago dentro de um determinado número de dias - o que pode variar de dois dias a seis dias.
Hackers também estão instalando o GandCrab Ransomware
Os pesquisadores também notaram que cerca de oito horas após a implantação do Sodinokibi em um sistema infectado, os invasores exploraram a mesma vulnerabilidade do WebLogic Server para instalar outro ransomware conhecido como GandCrab (v5.2).
"Achamos estranho que os atacantes optem por distribuir ransomware adicional e diferente no mesmo alvo", dizem os pesquisadores. "Sodinokibi sendo um novo sabor de ransomware, talvez os atacantes sentiram que suas tentativas anteriores não tinham sido bem-sucedidas e ainda estavam procurando ganhar dinheiro distribuindo Gandcrab."
Os atacantes vêm explorando a vulnerabilidade do Oracle WebLogic Server em funcionamento desde 17 de abril, no mínimo, para distribuir mineradores de criptomoeda e outros tipos de malware .
O WebLogic Server é um popular servidor de aplicativos corporativos multicamadas baseado em Java, normalmente usado por empresas para suportar aplicativos corporativos, o que o torna um alvo frequente de invasores que tentam executar operações maliciosas, como executar minas de criptomoeda e infectar com ransomware.
As organizações que usam o Oracle WebLogic Server devem atualizar suas instalações para a versão mais recente do software o mais rápido possível.
