Los atacantes han comenzado a explotar una vulnerabilidad de ejecución remota de código (RCE) en Apache ActiveMQ, un controlador de mensajes Java de código abierto. El fallo crítico fue identificado por los equipos de Rapid7 “en dos entornos de clientes diferentes”. Y "en ambos casos, el atacante intentó implementar archivos binarios de ransomware en los sistemas de destino para exigir un rescate a las víctimas".

Según la demanda de rescate y otros detalles del ataque, Rapid7 cree que los ciberdelincuentes implementaron el ransomware HelloKitty. El código fuente de este último se filtró en foros clandestinos a principios de este mes.

Índice
  1. Un defecto en la deserialización de Java
  2. Una mejora de HelloKitty o un imitador

Un defecto en la deserialización de Java

El mes pasado, los desarrolladores de ActiveMQ descubrieron una brecha crítica en la solución de intercambio de mensajes Java de código abierto. Para que conste, este servicio admite múltiples protocolos de transmisión para transferir mensajes y datos entre diferentes aplicaciones y clientes escritos en diferentes lenguajes de programación. Es un middleware popular utilizado en el desarrollo de soluciones de software empresarial.

Los investigadores de seguridad analizaron la vulnerabilidad CVE-2023-46604 (solucionada el 25 de octubre) y desarrollaron PoC de explotación. “La falla podría permitir que un atacante remoto con acceso a la red de un corredor ejecute comandos de shell arbitrarios manipulando tipos de clases serializados en el protocolo OpenWire para hacer que el corredor cree una instancia de cualquier clase de ruta. 'acceso (ruta de clase)'. Según Rapid7, el error proviene de una deserialización insegura. La serialización consiste en transformar un objeto de aplicación a un formato de datos que pueda restaurarse posteriormente. Este proceso se utiliza para guardar objetos o enviarlos como parte de comunicaciones. La deserialización es el proceso inverso. La deserialización de Java es una categoría de vulnerabilidades en sí misma que ha ganado popularidad en los últimos años y muchos proyectos se han visto afectados por este tipo de fallas.

Una mejora de HelloKitty o un imitador

Apareció en 2020El ransomware HelloKitty recibió mucha publicidad después El ataque al estudio de videojuegos CD Projekt Red. (editor de Cyberpunk 2077) en febrero de 2021. Luego, el FBI emitió un aviso sobre indicadores de compromiso para las campañas que utilizan este ransomware, también conocido como FiveHands. Pero a principios de octubre de 2023, Se ha publicado un archivo que contiene el código fuente completo del ransomware HelloKitty. en un foro. En una nota, el autor, que podría ser el creador original, indicó que el grupo estaba trabajando en otro ransomware más capaz y que el actual se consideraba obsoleto.

Es difícil decir si los atacantes que actualmente explotan CVE-2023-46604 son parte de la pandilla original o si adoptaron el programa después de su lanzamiento. Los investigadores de Rapid7 notaron que los ciberdelincuentes parecían torpes y repetidamente no lograron cifrar los activos en uno de los ataques, lo que sugiere que todavía están aprendiendo. Los expertos aconsejan a los usuarios actualizar ActiveMQ con la solución lo más rápido posible.