Check Point gibt Einblick in realen Log4j-Exploit
Log4Shell-Risiko: Erst Cryptomining, dann Ransomware
In weniger als einer Woche hat Check Point mehr als 1,8 Millionen Versuche verzeichnet, die „Log4Shell“ genannte Log4j-Schwachstelle auszunutzen. In Deutschland haben Angreifer laut Angaben von Check Point Research mittlerweile bereits 53 Prozent aller von Check Point erfassten Unternehmensnetzwerke attackiert. Weltweit liege der Schnitt bei 46 Prozent, in Europa bei 51. Händler und Systemintegratoren seien mit 59 Prozent weltweit am stärksten betroffen.
Anhand eines Beispiels erläutern die Sicherheitsforscher, wie ein solcher Angriff funktioniert: Die Kriminellen nutzen die Log4j-Schwachstelle aus, um einen Trojaner herunterzuladen, der eine .exe-Datei herunterlädt, die wiederum einen Cryptominer installiert. Sobald der Cryptominer installiert ist, beginnt er, heimlich die Rechenleistung des Opfers anzuzapfen, um für den Profit der Angreifer eine Kryptowährung zu schürfen. Die Malware verschleiert alle relevanten Funktionen und Dateinamen, um eine Erkennung durch statische Analysemechanismen zu umgehen.
Während die meisten der entdeckten Cryptominer diese Schwachstelle für Linux-basiertes Cryptomining ausnutzten, haben die Check-Point-Forscher jetzt einen Angriffsweg entdeckt, bei dem eine unentdeckte, erstmals .NET-basierte Malware zum Einsatz kam. Der Server, der die bösartigen Dateien enthält, befindet sich in den USA und hostet mehrere bösartige Dateien.
Bedrohungsakteure nutzen Cryptomining-Angriffe laut Forschern gerne als Vorstufe zu groß angelegten Angriffen, beispielsweise Ransomware-Infektionen. Es handelt sich sozusagen um eine Generalprobe der Schwachstelle, der Angriffsart und des Schadens, der bei den Opfern zu erzielen ist. Es ist deshalb laut Check Point nur eine Frage der Zeit, bis ein größerer Angriff folgt, wenn Angreifer schon eine beliebige Art von Malware eingeschleust haben.
Weitere Details sowie Hinweise zu konkreten Abhilfemaßnahmen finden sich auf Check Points Blog unter https://blog.checkpoint.com/2021/12/11/protecting-against-cve-2021-44228-apache-log4j2-versions-2-14-1/.
Lesen Sie mehr zum Thema
