加密貨幣交易平臺(tái)ONUS遭遇Log4j攻擊，拒絕支付500萬贖金。

越南最大的加密貨幣交易平臺(tái)ONUS運(yùn)行有漏洞的Log4j版本的支付系統(tǒng)遭遇網(wǎng)絡(luò)攻擊。攻擊者要求ONUS支付500萬美元的贖金，并威脅公布用戶數(shù)據(jù)。

事件概述

12月9日，Log4Shell (CVE-2021-44228)漏洞的PoC 漏洞利用在GitHub公開。隨后出現(xiàn)了大量針對(duì)有漏洞的服務(wù)器的大規(guī)模掃描活動(dòng)。12月11日-13日，攻擊者成功利用ONUS平臺(tái)Cyclos服務(wù)器上的Log4Shell漏洞，并成功植入了后門軟件。

Cyclos于12月13日通知ONUS 修復(fù)系統(tǒng)，但是太遲了。雖然ONUS已經(jīng)修復(fù)了Cyclos實(shí)例中的安全漏洞，但是漏洞窗口期使得攻擊者成功竊取了敏感數(shù)據(jù)庫的數(shù)據(jù)。被竊的數(shù)據(jù)庫中有近200萬的用戶數(shù)據(jù)，包括KYC (Know Your Customer)數(shù)據(jù)、哈希的密碼等。

事實(shí)上，Log4Shell漏洞存在于一個(gè)僅用于編程目的是沙箱服務(wù)器，但由于系統(tǒng)配置措施使得允許進(jìn)一步訪問敏感數(shù)據(jù)存儲(chǔ)位置的刪除數(shù)據(jù)。

200萬數(shù)據(jù)泄露

隨后，攻擊者要求ONUS被要求支付500萬贖金，否則會(huì)公開竊取的數(shù)據(jù)。12月25日，由于ONUS未支付足額贖金，攻擊者在暗網(wǎng)數(shù)據(jù)交易市場(chǎng)出售客戶數(shù)據(jù)。

近200萬ONUS客戶數(shù)據(jù)被出售

攻擊者稱有包含客戶個(gè)人數(shù)據(jù)和哈希后的密碼的395個(gè)ONUS數(shù)據(jù)庫表。樣本數(shù)據(jù)中包含客戶身份證圖像、護(hù)照、以及KYC過程中客戶提交的視頻片段。

事件分析

網(wǎng)絡(luò)安全公司 CyStack對(duì)該事件進(jìn)行了分析發(fā)現(xiàn)攻擊過程不僅僅利用了一個(gè)Log4j漏洞。Log4j漏洞利用僅僅為攻擊者提供了一個(gè)入口，更大的問題是ONUS的Amazon S3 buckets錯(cuò)誤配置導(dǎo)致攻擊者可以訪問，最終導(dǎo)致了敏感數(shù)據(jù)的泄露。攻擊者獲取的客戶數(shù)據(jù)包括：

• 姓名
• 郵箱和手機(jī)號(hào)
• 地址
• KYC信息
• 加密的密碼
• 交易歷史
• 其他加密的信息
• 補(bǔ)丁

目前，針對(duì)Java 8版本的Log4j 2.17.1版本已經(jīng)發(fā)布，建議用戶盡快更新到最新版本。此外，針對(duì)Java 7的2.12.4版本和針對(duì)Java 6的2.3.2版本也會(huì)在近期發(fā)布，建議用戶持續(xù)關(guān)注。

本文翻譯自：https://www.bleepingcomputer.com/news/security/fintech-firm-hit-by-log4j-hack-refuses-to-pay-5-million-ransom/如若轉(zhuǎn)載，請(qǐng)注明原文地址。