Ransomware omarmt Log4j-gat voor VM-gijzeling

Het gaat om de eerst ontdekte en ernstigste Log4j-kwetsbaarheid (CVE-2021-44228), die Log4Shell is gedoopt. Dat gat is begin december wereldkundig gemaakt en daarna van meerdere patches voorzien. De initiële patch bleek namelijk de kwetsbaarheid niet geheel op te lossen. Het open source Log4j wordt gebruikt in diverse ICT-producten van derden, waaronder ook commerciële leveranciers zoals VMware.

China cybercriminelen

De Horizon-software van VMware is doelwit van de cybercriminele bende achter Night Sky, meldt Bleeping Computer nu. Terwijl die nieuwe ransomware al eind december vorig jaar is opgemerkt door de security-onderzoekers van MalwareHunterTeam, zijn er vanaf 4 januari aanvallen gedetecteerd die specifiek Log4Shell benutten. Daarbij zijn internet-verbonden systemen met VMware Horizon op de korrel genomen.

Security-onderzoek van Microsoft heeft uitgewezen dat bij succesvolle aanvallen vervolgens de NightSky-ransomware is ingezet. Via Horizon zijn dan daarop draaiende virtuele desktops te gijzelen. Op de valreep van 2021 is al gebleken dat een Chinese groep cybercriminelen het Log4j-gat heeft benut om toegang te krijgen tot VMware Horizon-systemen. Doelwit daarbij was een grote onderwijsinstelling, die op tijd heeft kunnen patchen om verder binnendringen van de aanvallers te voorkomen.

De misdaadbende achter NightSky is volgens Microsoft dezelfde groep die achter eerdere ransomwarefamilies zat, waaronder LockFile, AtomSilo en Rook. NightSky zou een aftakking van laatstgenoemde zijn. De aanvallers voeren hun aanvallen uit vanaf domeinen die van legitieme bedrijven lijken te zijn, zoals securityleveranciers Trend Micro en Sophos, telecomaanbieder Rogers, en chipmaker Nvidia.

Patchen, en scannen

VMware's Horizon is één van de vele ICT-producten waarin Log4j dienst doet. De virtualisatieleverancier heeft voor zijn software patches uitgebracht en beperkende maatregelen aangereikt voor klanten. Niet alle gebruikers hebben die updates of workarounds echter doorgevoerd. Diverse partijen, waaronder Google maar ook de Nederlandse vrijwilligers van het DIVD, bieden gratis scanners aan om Log4j-versies in IT-omgevingen op te sporen.