Nie było masowych ataków, ale ryzyko pozostanie na lata. Co dziś wiemy o Log4Shell?

Liczba udanych ataków, w ramach których skorzystano z tej podatności, była dotąd niższa niż się spodziewano, a bezpośrednie zagrożenie masowymi incydentami minęło. Jednak luka pozostanie celem cyberprzestępców przez wiele kolejnych lat. Kto może stać za atakami i jak zmienia się ich natężenie?

Najwięcej ataków przed świętami

W ciągu tygodnia od ujawnienia luki Log4Shell liczba prób jej wykorzystania zaczęła szybko rosnąć – najwięcej odnotowano między 20 a 23 grudnia. W styczniu prób ataku było znacznie mniej. Nie oznacza to jednak, że zmalał poziom zagrożenia. Początkowo próby obejmowały zarówno cyberataki z wykorzystaniem koparek kryptowalut czy ransomware, jak i działania specjalistów ds. bezpieczeństwa, którzy chcieli ocenić jak bardzo ich systemy są podatne na zagrożenia. Teraz coraz większy odsetek incydentów to prawdziwe ataki, które nadal stanowią poważne ryzyko dla firmowych systemów.

Próby głównie z USA, Rosji i Chin

Od ujawnienia luki 9 grudnia do końca 2021 roku próby wykorzystania podatności były podejmowane przede wszystkim z adresów IP pochodzących z USA, Rosji oraz Chin. Znaczny udział miały też kraje Europy Zachodniej, jak Francja i Niemcy, oraz Ameryki Łacińskiej. Na początku 2022 roku dominacja adresów IP z Rosji i Chin zaczęła się zmniejszać. Według analityków Sophos miało to związek ze spadkiem liczby ataków wykorzystujących złośliwe koparki kryptowalut, których dokonywało kilka grup z tych regionów.

Płacisz rachunki za gaz? Uważaj na oszustów w sieciMikołaj Frączak

– Warto zaznaczyć, że kraje, których adresy IP dominowały na początku, mają dużą liczbę mieszkańców i wykwalifikowanych specjalistów ds. cyberbezpieczeństwa. Znaczący udział Stanów Zjednoczonych czy Niemiec prawdopodobnie odzwierciedla rozwiniętą infrastrukturę centrów danych Amazon, Microsoft czy Google, które się tam znajdują. Trzeba też pamiętać, że niekoniecznie musi istnieć związek między adresami IP, z których skanowano sieć w poszukiwaniu luki, a rzeczywistą lokalizacją osób podejmujących takie działania – wskazuje Grzegorz Nocoń, inżynier systemowy w firmie Sophos.

Jak wyglądał mechanizm ataku?

Mechanizm typowego ataku wygląda tak, że zaatakowane urządzenia łączą się z serwerami przestępców, aby pobrać złośliwe oprogramowanie lub przesłać skradzione dane. W przypadku luki Log4Shell mapa takich połączeń znacząco różni się od mapy adresów IP. Najwięcej notowano ich w Indiach oraz Stanach Zjednoczonych, wysokie miejsce zajęła też Wielka Brytania, RPA czy Australia. Nie jest jasne, dlaczego akurat te kraje dominują wśród miejsc docelowych ruchu związanego z luką Log4Shell. Możliwe, że jest tam dużo grup tropiących podatności, które liczą na nagrodę za szybkie wyłapanie zagrożenia i ostrzeżenie firm.

Przestępcy czekają na dobry moment

Według analityków Sophos bezpośrednie zagrożenie masowym wykorzystaniem luki Log4Shell zostało zażegnane. Powaga sytuacji zmobilizowała świat IT i skłoniła do współpracy specjalistów ds. cyberbezpieczeństwa oraz firmy oferujące usługi w chmurze czy pakiety oprogramowania. Jednak podatność może pozostawać niewykryta wewnątrz niektórych aplikacji i systemów. Prawdopodobnie pozostanie więc powszechnym celem cyberataków w kolejnych latach.

Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Jeśli chcesz być na bieżąco z informacjami za zakresu bezpieczeństwa, zapraszamy do naszego serwisu ponownie!
Jeżeli podobał Ci się artykuł podziel się z innymi udostępniając go w mediach społecznościowych.