Beheer

Security
VMware Horizon

Ransomware omarmt Log4j-gat voor VM-gijzeling

Virtuele desktops doelwit van ransomware die op ongepatchte loggingtool mikt.

© VMware
12 januari 2022

Virtuele desktops doelwit van ransomware die op ongepatchte loggingtool mikt.

Een verse nieuwkomer in de ranswomaremarkt benut het kritieke Log4j-gat om binnen te komen in VMware-omgevingen. De zogeheten Night Sky-ransomware mikt op bedrijfsnetwerken, om daar data te stelen en dan te versleutelen. Daarmee wordt dan een dubbele afpersing uitgevoerd. Night Sky gebruikt de grote kwetsbaarheid in loggingtool Log4j om virtuele desktops te versleutelen.

Het gaat om de eerst ontdekte en ernstigste Log4j-kwetsbaarheid (CVE-2021-44228), die Log4Shell is gedoopt. Dat gat is begin december wereldkundig gemaakt en daarna van meerdere patches voorzien. De initiële patch bleek namelijk de kwetsbaarheid niet geheel op te lossen. Het open source Log4j wordt gebruikt in diverse ICT-producten van derden, waaronder ook commerciële leveranciers zoals VMware.

China cybercriminelen

De Horizon-software van VMware is doelwit van de cybercriminele bende achter Night Sky, meldt Bleeping Computer nu. Terwijl die nieuwe ransomware al eind december vorig jaar is opgemerkt door de security-onderzoekers van MalwareHunterTeam, zijn er vanaf 4 januari aanvallen gedetecteerd die specifiek Log4Shell benutten. Daarbij zijn internet-verbonden systemen met VMware Horizon op de korrel genomen.

Security-onderzoek van Microsoft heeft uitgewezen dat bij succesvolle aanvallen vervolgens de NightSky-ransomware is ingezet. Via Horizon zijn dan daarop draaiende virtuele desktops te gijzelen. Op de valreep van 2021 is al gebleken dat een Chinese groep cybercriminelen het Log4j-gat heeft benut om toegang te krijgen tot VMware Horizon-systemen. Doelwit daarbij was een grote onderwijsinstelling, die op tijd heeft kunnen patchen om verder binnendringen van de aanvallers te voorkomen.

De misdaadbende achter NightSky is volgens Microsoft dezelfde groep die achter eerdere ransomwarefamilies zat, waaronder LockFile, AtomSilo en Rook. NightSky zou een aftakking van laatstgenoemde zijn. De aanvallers voeren hun aanvallen uit vanaf domeinen die van legitieme bedrijven lijken te zijn, zoals securityleveranciers Trend Micro en Sophos, telecomaanbieder Rogers, en chipmaker Nvidia.

Patchen, en scannen

VMware's Horizon is één van de vele ICT-producten waarin Log4j dienst doet. De virtualisatieleverancier heeft voor zijn software patches uitgebracht en beperkende maatregelen aangereikt voor klanten. Niet alle gebruikers hebben die updates of workarounds echter doorgevoerd. Diverse partijen, waaronder Google maar ook de Nederlandse vrijwilligers van het DIVD, bieden gratis scanners aan om Log4j-versies in IT-omgevingen op te sporen.

2
Reacties
Bop 22 januari 2022 19:10

Chinese cyber-criminelen, zeg maar.

Anders net echt Amerikaans, waar ze moeite hebben met bijvoeglijke naamwoorden.

Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.