Эксперты предупреждают, что атак на уязвимость Log4Shell (CVE-2021-44228) становится больше. Теперь специалисты компании Bitdefender и вовсе обнаружили шифровальщика Khonsari, который эксплуатирует свежий баг, связанный с библиотекой Log4j.
Как мы уже писали ранее, первые атаки на Log4Shell были зафиксированы вскоре после публичного раскрытия информации об уязвимости. Однако тогда речь шла о внедрении майнеров, DDoS- малвари, краже переменных окружения и установке маяков Cobalt Strike (с неясными целями).
Однако атаки усиливаются. Так, по информации Check Point, эксплоитов для Log4Shell уже начитывается более 60, а в некоторые моменты можно наблюдать до 100 атак в минуту. По состоянию на начало недели, с прошлой пятницы различные хакерские группировки уже успели совершить порядка 840 000 атак на Log4Shell.
В свою очередь, китайская компания Qihoo 360 предупредила, что уже отслеживает как минимум 10 различных хак-групп, злоупотребляющих уязвимостью.
Теперь аналитики из компании Bitdefender сообщили, что обнаружили первую группу вымогателей, которая злоупотребляет свежей уязвимостью. Первые атаки нового шифровальщика Khonsari были замечены в воскресенье, 11 декабря 2021 года. Известно, что малварь написана на.NET и предназначена только для атак на Windows-машины. Пострадавшие могут распознать атаку Khonsari по расширению .khonsari, которое малварь добавляет к большинству зашифрованных файлов.
Впрочем, неизвестно, будет ли у пострадавших возможность заплатить выкуп. Исследователи заметили, что малварь названа в честь реально существующего человека (владельца антикварного магазина в Луизиане) и использует его контактные данные в записках с требованием выкупа. Пока неясно, кто этот человек, и зачем хакеры очерняют его имя таким странным образом. Однако, судя по всему, Khonsari может оказаться чьей-то злой шуткой и wiper’ом. То есть восстановить данные после атаки будет невозможно.