Piratas informáticos de estados nacionales pretenden aprovechar el fallo del software Log4j

Publicado por: Manuel Abreu Ortiz - social@manuelabreuo.com

Especialista en Tecnología #Ciberseguridad #CTO #PMO #Adviser #CoachPolitico #Podcasting

Ciberdelincuentes asociados con los gobiernos de China, Irán, Corea del Norte y Turquía han estado tratando de encontrar maneras de aprovechar la vulnerabilidad de Apache Log4j, afirmó el martes, el Equipo de Inteligencia de Amenazas de Microsoft.

El aviso se produjo el mismo día en que un alto funcionario del gobierno de EE.UU. aseguró que la Agencia de Ciberseguridad y Seguridad de Infraestructuras no ha visto ninguna agencia federal de EE.UU. atacada con el exploit, pero que el gobierno sigue temiendo los ataques. Cientos de millones de dispositivos están potencialmente en riesgo, dijo previamente un funcionario de la agencia.

El aviso de Microsoft decía que sus analistas habían observado “múltiples” grupos de piratas informáticos conocidos asociados al Estado que trabajan con la vulnerabilidad, con una actividad que va desde la experimentación hasta la integración en campañas activas y la explotación de objetivos. Los especialistas en seguridad informática han advertido de que el fallo es tan grave que un ataque exitoso podría dar lugar a la toma de control de un sistema afectado.

Un grupo iraní al que Microsoft denomina “Phosphorus” -conocido alternativamente como “Charming Kitten”- que ha estado desplegando ransomware últimamente ha “operacionalizado” las modificaciones de sus herramientas utilizando Log4j, según los analistas. Un grupo chino, “HAFNIUM”, también ha sido observado atacando la infraestructura de virtualización con la vulnerabilidad.

La empresa de ciberseguridad Mandiant también ha observado actividad de esos dos países, dijo John Hultquist, vicepresidente de análisis de inteligencia de la empresa.

Los presuntos iraníes que trabajan en la implementación de Log4j en las operaciones “son particularmente agresivos”, añadió, “habiendo participado en operaciones de ransomware que pueden ser llevadas a cabo principalmente con fines disruptivos más que con fines económicos.”

La vulnerabilidad también se ha observado como parte de la actividad de una red de bots, según la empresa de ciberseguridad Bitdefender. La compañía informó el lunes que había visto ataques en sus honeypots utilizando la vulnerabilidad, pero también había visto ataques en el mundo real que parecían estar asociados principalmente con el cryptojacking. Este tipo de ataque permite la minería maliciosa de criptomonedas utilizando el sistema de un objetivo sin consentimiento.

Bitdefender también había detectado intentos de incorporar la vulnerabilidad en la variante del ransomware Khonsari.

Con información de CNN Español.