zephyr_p - stock.adobe.com

Ransomware : les Conti exploitent déjà la vulnérabilité Log4Shell

Selon AdvIntel, les cybermalfaiteurs liés à la franchise de ransomware en mode service Conti se sont très rapidement mis à viser les systèmes vCenter affectés par la vulnérabilité Log4Shell afin d’attaquer de nouvelles cibles.

Dès le 11 décembre, Microsoft alertait sur l’exploitation de la vulnérabilité Log4Shell, affectant la librairie de journalisation log4j2 et dévoilée la veille, pour l’installation de balises Cobalt Strike. Celles-ci sont notamment fréquemment utilisées dans le cadre des activités de déplacement latéral préalable à la détonation de ransomware. Justement, selon AdvIntel, la franchise de ransomware Conti a commencé à exploiter Log4Shell pour ses activités mafieuses.

Dans un billet de blog, Vitali Kremez et Yelisey Boguslavskiy expliquent que la franchise a entamé ses activités de recherche de cibles pour des accès initiaux dès le 13 décembre, et commencé à viser des environnements vCenter affectés par la vulnérabilité Log4Shell deux jours plus tard. VMware a publié des conseils d’atténuation du risque induit par celle-ci, mais pas encore de correctif, à l’heure où sont publiées ces lignes.

Dans leur billet de blog, les deux chercheurs expliquent avoir découvert, dès le 12 décembre, que « plusieurs membres du groupe Conti avaient exprimé leur intérêt pour l’exploitation de la vulnérabilité comme vecteur d’intrusion initiale, ce qui s’est traduit par une activité de balayage ».

Surtout, « AdvIntel a confirmé que les criminels ont spécifiquement visé les instances VMware vCenter affectées pour se déplacer latéralement à partir du réseau compromis ». Ces activités auraient déjà fait des victimes en Europe et aux États-Unis. Pour AdvIntel, l’adoption de cette approche par d’autres franchises n’est qu’une question de temps.

Récemment, Vitali Kremez a confirmé qu’un groupe lié à la franchise Conti allait faire « une courte pause » de fin d’année en attendant « que le spammer Emotet revienne, pendant que les réseaux d’entreprise sont en mode vacances ». L’annonce est survenue dans une discussion avec une victime. Mais il ne semble toutefois pas devoir en attendre de véritable répit : « attendez-vous à plus d’activité de la part des autres groupes Conti, dont ceux qui déploient désormais Hive ».

Pour approfondir sur Menaces, Ransomwares, DDoS

Close