加密貨幣交易平臺ONUS遭遇Log4j攻擊，拒絕支付500萬贖金。

越南最大的加密貨幣交易平臺ONUS運行有漏洞的Log4j版本的支付系統(tǒng)遭遇網(wǎng)絡(luò)攻擊。攻擊者要求ONUS支付500萬美元的贖金，并威脅公布用戶數(shù)據(jù)。

事件概述

12月9日，Log4Shell (CVE-2021-44228)漏洞的PoC 漏洞利用在GitHub公開。隨后出現(xiàn)了大量針對有漏洞的服務(wù)器的大規(guī)模掃描活動。12月11日-13日，攻擊者成功利用ONUS平臺Cyclos服務(wù)器上的Log4Shell漏洞，并成功植入了后門軟件。

Cyclos于12月13日通知ONUS 修復(fù)系統(tǒng)，但是太遲了。雖然ONUS已經(jīng)修復(fù)了Cyclos實例中的安全漏洞，但是漏洞窗口期使得攻擊者成功竊取了敏感數(shù)據(jù)庫的數(shù)據(jù)。被竊的數(shù)據(jù)庫中有近200萬的用戶數(shù)據(jù)，包括KYC (Know Your Customer)數(shù)據(jù)、哈希的密碼等。

事實上，Log4Shell漏洞存在于一個僅用于編程目的是沙箱服務(wù)器，但由于系統(tǒng)配置措施使得允許進(jìn)一步訪問敏感數(shù)據(jù)存儲位置的刪除數(shù)據(jù)。

200萬數(shù)據(jù)泄露

隨后，攻擊者要求ONUS被要求支付500萬贖金，否則會公開竊取的數(shù)據(jù)。12月25日，由于ONUS未支付足額贖金，攻擊者在暗網(wǎng)數(shù)據(jù)交易市場出售客戶數(shù)據(jù)。

近200萬ONUS客戶數(shù)據(jù)被出售

攻擊者稱有包含客戶個人數(shù)據(jù)和哈希后的密碼的395個ONUS數(shù)據(jù)庫表。樣本數(shù)據(jù)中包含客戶身份證圖像、護(hù)照、以及KYC過程中客戶提交的視頻片段。

事件分析

網(wǎng)絡(luò)安全公司 CyStack對該事件進(jìn)行了分析發(fā)現(xiàn)攻擊過程不僅僅利用了一個Log4j漏洞。Log4j漏洞利用僅僅為攻擊者提供了一個入口，更大的問題是ONUS的Amazon S3 buckets錯誤配置導(dǎo)致攻擊者可以訪問，最終導(dǎo)致了敏感數(shù)據(jù)的泄露。攻擊者獲取的客戶數(shù)據(jù)包括：

• 姓名
• 郵箱和手機號
• 地址
• KYC信息
• 加密的密碼
• 交易歷史
• 其他加密的信息
• 補丁

目前，針對Java 8版本的Log4j 2.17.1版本已經(jīng)發(fā)布，建議用戶盡快更新到最新版本。此外，針對Java 7的2.12.4版本和針對Java 6的2.3.2版本也會在近期發(fā)布，建議用戶持續(xù)關(guān)注。

本文翻譯自：https://www.bleepingcomputer.com/news/security/fintech-firm-hit-by-log4j-hack-refuses-to-pay-5-million-ransom/如若轉(zhuǎn)載，請注明原文地址。