Εκμετάλλευση ευπάθειας Log4Shell για την εγκατάσταση του Khonsari Ransomware

Η τρύπα ασφαλείας που ανακαλύφθηκε πρόσφατα στην υπηρεσία Log4j προσέλκυσε γρήγορα την προσοχή των εγκληματιών του κυβερνοχώρου που ειδικεύονται σε διάφορους τύπους επιθέσεων. Παρόλο που οι αρχικές αναφορές ανέφεραν κυρίως botnets και εξορύκτες κρυπτονομισμάτων, φαίνεται ότι οι χειριστές ransomware βρίσκονται επίσης σε αναζήτηση διακομιστών που μπορούν να εκμεταλλευτούν μέσω της ευπάθειας Log4Shell. Χάρη σε αυτό το εκμετάλλευση, οι εγκληματίες αποκτούν τη δυνατότητα να εκτελούν απομακρυσμένες εντολές στα παραβιασμένα συστήματα, επιτρέποντάς τους ουσιαστικά να εκτελούν κάθε είδους εργασίες – όπως να τρέξουν το νέο Khonsari Ransomware.

Οι χειριστές Khonsari Ransomware χρησιμοποιούν έναν αριθμό τηλεφώνου για επικοινωνία

Το Khonsari Ransomware δεν σχετίζεται με καμία από τις οικογένειες θυρίδων αρχείων που κυκλοφόρησαν το 2021 και φαίνεται να είναι ένα πολύ νέο κομμάτι λογισμικού. Δυστυχώς, η αρχική ανάλυση του ωφέλιμου φορτίου δείχνει ότι χρησιμοποιεί έναν άψογο μηχανισμό κρυπτογράφησης αρχείων, ο οποίος θα καθιστούσε αδύνατη την ανάπτυξη και την κυκλοφορία ενός δωρεάν αποκρυπτογραφητή. Αυτό αφήνει τα θύματα του Khonsari Ransomware με πολύ περιορισμένες επιλογές όσον αφορά την ανάκτηση των αρχείων τους.

Είναι σημαντικό να προσθέσουμε ότι το Khonsari Ransomware δεν εμφανίστηκε μέχρι να αποκαλυφθεί η ευπάθεια Log4Shell . Μέχρι στιγμής, αυτή φαίνεται η μόνη μέθοδος που χρησιμοποιούν οι δημιουργοί του για να μολύνουν συστήματα. Το κακόβουλο λογισμικό είναι σε θέση να κρυπτογραφήσει γρήγορα ένα μεγάλο μέρος των αρχείων του θύματος και να προσθέσει το επίθημα «.khonsari» στο όνομά του. Όπως και άλλα θυρίδες αρχείων, έτσι και αυτό επιλέγει να εμφανίζει ένα σημείωμα λύτρων μετά την ολοκλήρωση της επίθεσης.

Οι εγκληματίες του Khonsari Ransomware ζητούν από το θύμα τους να πληρώσει ένα τέλος λύτρων μέσω Bitcoin και να επικοινωνήσει με το karenkhonsari@gmail.com για πρόσθετες πληροφορίες. Το εκπληκτικό πράγμα στο μήνυμά τους για λύτρα είναι η παρουσία ενός αριθμού τηλεφώνου, ο οποίος μπορεί να χρησιμοποιηθεί για να επικοινωνήσετε μαζί τους – (225) 287-1309. Καλό είναι να μην συμφωνήσετε να στείλετε χρήματα σε ανώνυμους εγκληματίες του κυβερνοχώρου. Εάν πληρώσετε, μπορεί να μην λάβετε τίποτα σε αντάλλαγμα, χάνοντας τόσο τα χρήματά σας όσο και τα αρχεία σας. Είναι καλύτερο να αφαιρέσετε το Khonsari Ransomware μέσω λογισμικού προστασίας από ιούς και, στη συνέχεια, να εξερευνήσετε εναλλακτικές επιλογές ανάκτησης δεδομένων. Φυσικά, φροντίστε να ενημερώσετε επίσης την υπηρεσία Log4j για να διορθώσετε την ευπάθεια.