Piratas informáticos explotan la falla de Oracle WebLogic RCE

Se encontraron piratas informáticos que explotan la falla de Oracle WebLogic RCE para propagar ransomware

Aprovechar las vulnerabilidades recientemente reveladas e incluso parcheadas se ha convertido en algo común entre los ciberdelincuentes, lo que lo convierte en uno de los principales vectores de ataque para las amenazas cotidianas, como la criptografía, el phishing y el ransomware.

Como se sospechó, una vulnerabilidad crítica recientemente revelada en el ampliamente utilizado Oracle WebLogic Server ahora se ha visto activamente explotada para distribuir una variante de ransomware nunca antes vista, que los investigadores denominaron " Sodinokibi ".

El fin de semana pasado, The Hacker News se enteró de una vulnerabilidad de ejecución remota de código de deserialización crítica en Oracle WebLogic Server eso podría permitir a los atacantes ejecutar de forma remota comandos arbitrarios en los servidores afectados con solo enviar una solicitud HTTP especialmente diseñada, sin requerir ninguna autorización.


Para abordar esta vulnerabilidad (CVE-2019-2725), que afectó a todas las versiones del software Oracle WebLogic y recibió una puntuación de severidad de 9.8 sobre 10, Oracle lanzó una actualización de seguridad fuera de banda el 26 de abril, solo una Un día después se hizo pública la vulnerabilidad y se observaron varios ataques en el medio silvestre.

Según los investigadores de seguridad cibernética del equipo de investigación de amenazas de Cisco Talos, un grupo desconocido de piratas informáticos ha estado explotando esta vulnerabilidad desde al menos el 25 de abril para infectar servidores vulnerables con una nueva pieza de malware de ransomware.




Sodinokibi es una peligrosa variante de ransomware que ha sido diseñada para cifrar archivos en el directorio de un usuario y luego eliminar las copias de seguridad de instantáneas del sistema con el fin de evitar que las víctimas recuperen sus datos sin pagar un rescate.


No se requiere interacción para implementar Ransomware


Dado que los atacantes están aprovechando una vulnerabilidad de ejecución remota de código en el servidor WebLogic, a diferencia de los ataques de ransomware típicos, la implementación del ransomware Sodinokibi no requiere la interacción del usuario.

---

"Históricamente, la mayoría de las variedades de ransomware han requerido algún tipo de interacción con el usuario, como que un usuario abra un archivo adjunto a un mensaje de correo electrónico, haga clic en un enlace malicioso o ejecute un malware en el dispositivo", explican los investigadores en una publicación de blog .

"En este caso, los atacantes simplemente aprovecharon la vulnerabilidad de Oracle WebLogic, lo que provocó que el servidor afectado descargue una copia del ransomware de las direcciones IP controladas por el atacante".

---

Una vez descargado, el ransomware Sodinokibi cifra los sistemas de la víctima y muestra una nota de rescate que exige hasta $ 2,500 en Bitcoin. La cantidad se duplica a $ 5,000 si el rescate no se paga dentro de un número específico de días, que puede variar de dos días a seis días.

Los hackers también están instalando GandCrab Ransomware


Los investigadores también observaron que aproximadamente ocho horas después de implementar Sodinokibi en un sistema infectado, los atacantes explotaron la misma vulnerabilidad de WebLogic Server para instalar otra pieza de ransomware conocida como GandCrab (v5.2).




"Nos parece extraño que los atacantes opten por distribuir ransomware adicional y diferente en el mismo objetivo", dicen los investigadores. "Sodinokibi es un nuevo sabor del ransomware, tal vez los atacantes sintieron que sus intentos anteriores habían sido infructuosos y todavía buscaban cobrar al distribuir Gandcrab".


Los atacantes han estado explotando la vulnerabilidad de Oracle WebLogic Server en su hábitat natural desde al menos el 17 de abril para distribuir mineros de criptomoneda y otros tipos de malware .

WebLogic Server es un popular servidor de aplicaciones empresariales multinivel basado en Java que las empresas suelen utilizar para respaldar aplicaciones empresariales, lo que lo convierte en un objetivo frecuente de los atacantes que intentan realizar operaciones maliciosas, como ejecutar mineros de criptomonedas e infectar con ransomware.

Las organizaciones que utilizan Oracle WebLogic Server deben asegurarse de actualizar sus instalaciones a la última versión del software tan pronto como sea posible.




Vía: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta