به گزارش کارگروه امنیت سایبربان؛ بازیگران مخرب، یک خانواده باج افزاری غیر فعال و قدیمی به نام TellYouThePass را احیا کرده اند و آن را در حملات خود علیه دستگاه های ویندوز و لینوکس مورد استفاده قرار می دهند. این باج افزار، باگ های جدی موجود در کتابخانه جاوا Alog4j آپاچی را هدف قرار می دهد.
این حملات اولین بار روز دوشنبه توسط تیم KnownSec 404 گزارش شدند. طبق مشاهدات محققین، باج افزار نام برده را با استفاده از کدهای مخرب Log4Shell بر روی سیستم های قدیمی ویندوز رها می کنند.
این گزارش توسط تیم هوش تهدید Sangfor نیز تایید شد. این تیم با موفقیت توانست نمونه ای از باج افزار TellYouThePass که در حملات مورد استفاده قرار داشت را ضبط کند. این نمونه که از کدهای مخرب Log4Shell بهره مند بود، عمدتا اهداف چینی را تحت الشعاع قرار می داد.
طبق گزارشات، این باج افزار دارای نسخه لینوکسی است که کلیدهای SSH را جمع آوری کرده و به صورت جانبی در شبکه های قربانیان حرکت می کنند.
این اولین بار نیست که باج افزار TellYouThePass با استفاده از آسیب پذیری های پر خطر، اقدام به حمله می کنند. این خانواده باج افزاری سال گذشته با استفاده از آسیب پذیری های Eternal Blue، چندین واحد سازمانی را مورد هدف قرار داد.
ظاهرا فعالیت های باج افزار TellYouThePass پس از انتشار کدهای مخرب Log4Shell به صورت قابل توجهی افزایش یافته است.
TellYouThePass اولین باج افزاری نیست که که در حملات Log4Shell مورد استفاده قرار می گیرد. از زمانی که مهاجمین شروع به تزریق استخراج کننده های مونرو بر روی دستگاه های نا ایمن کردند، هکرها بهره برداری ها و فعالیت های مخرب خود را استارت زدند.
BitDefender نیز پیش از این، خبر از مشاهده خانواده باج افزاری جدیدی به نام Khonsari در این حملات داده بود که مستقیما توسط کدهای مخرب Kog4Shell بر روی دستگاه نصب می شد.
عاملین باج افزار کونتی نیز کدهای مخرب Log4Shell را به توپخانه خود اضافه کرده اند و با دسترسی به سرورهایVMware vCenter ماشین های مجازی را رمزنگاری می کنند.
