Night Sky Ransomware usa el error Log4j para hackear servidores VMware Horizon

La pandilla de ransomware Night Sky ha comenzado a explotar la vulnerabilidad crítica CVE-2021-44228 en la biblioteca de registro Log4j, también conocida como Log4Shell, para obtener acceso a los sistemas VMware Horizon.

El actor de amenazas se dirige a máquinas vulnerables expuestas en la web pública por dominios que se hacen pasar por empresas legítimas, algunas de ellas de tecnología y ciberseguridad.

Los ataques comenzaron a principios de enero.

El ransomware Night Sky fue descubierto por el investigador de seguridad MalwareHunterTeam a fines de diciembre de 2021 y se enfoca en bloquear redes corporativas. Cifraba a varias víctimas y pedía un rescate de 800.000 dólares a una de ellas.

El lunes, Microsoft publicó una advertencia sobre una nueva campaña de un actor con sede en China rastreado como DEV-0401 para explotar la vulnerabilidad Log4Shell en los sistemas VMware Horizon expuestos en Internet y usar el ransomware Night Sky.

VMware Horizon se utiliza para la virtualización de escritorios y aplicaciones en la nube para que los usuarios puedan acceder a ellos de forma remota a través de un cliente dedicado o un navegador web.

También es una solución para que los administradores mejoren la gestión, el cumplimiento de la seguridad y la automatización en toda la flota de sistemas virtuales.

VMware parcheó Log4Shell en los productos Horizon y proporcionó soluciones alternativas para los clientes que no pudieron instalar la nueva versión con la corrección (2111, 7.13.1, 7.10.3). Sin embargo, algunas empresas aún no han aplicado la solución.

“Ya el 4 de enero, los atacantes comenzaron a explotar la vulnerabilidad CVE-2021-44228 en los sistemas conectados a Internet con VMware Horizon. Nuestra investigación muestra que los robos exitosos en estas campañas llevaron al uso del ransomware NightSky «Microsoft

La compañía agrega que se sabe que el grupo tiene un historial de servir a otras familias de ransomware como LockFile, AtomSilo y Rook.

Los ataques anteriores de este actor también aprovecharon problemas de seguridad en sistemas con acceso a Internet como Confluence (CVE-2021-26084) y servidores locales de Exchange (CVE-2021-34473 – ProxyShell). Se cree que Night Sky es una continuación de las operaciones de ransomware anteriores.

Microsoft señala que los operadores de ransomware Night Sky confían en servidores de comando y control que imitan los dominios utilizados por empresas legítimas como la empresa de ciberseguridad Sophos, Trend Micro, la empresa de tecnología Nvidia y Rogers Corporation.

Atractivo vector de ataque

Log4Shell es un vector de ataque atractivo tanto para piratas informáticos como para ciberdelincuentes, ya que el componente de código abierto Log4J está presente en una gran cantidad de sistemas de docenas de proveedores.

Aprovechar el error para obtener la ejecución del código sin autenticación requiere un esfuerzo mínimo. Un actor de amenazas puede iniciar una devolución de llamada o solicitud a un servidor malicioso que solo necesita visitar un sitio o buscar una cadena específica de caracteres para iniciar una devolución de llamada del servidor a una ubicación maliciosa.

La vulnerabilidad se puede explotar de forma remota en computadoras vulnerables expuestas en Internet pública o en la red local por un adversario local para acceder a sistemas internos confidenciales desde un lado.

Una de las primeras pandillas de ransomware de «primer nivel» que Log4Shell integró en sus ataques es Conti, que se hizo pública el día 12.

Otra pandilla de ransomware, un novato llamado Khonsari, comenzó a explotar el exploit al día siguiente cuando apareció el PoC en GitHub.

En los días posteriores a su lanzamiento, varios actores de amenazas comenzaron a explotar el error Log4j. Los primeros en beneficiarse fueron los mineros de criptomonedas, seguidos por los piratas informáticos patrocinados por el gobierno y las bandas de ransomware.