数据加密虚拟货币交易ONUS遭受Log4j进攻,回绝付款500万赎金。
越南地区较大的数据加密虚拟货币交易ONUS运作有漏洞的Log4j版本的支付平台遭受黑客攻击。攻击者规定ONUS付款500万美金的赎金,并危害发布客户数据。
事情简述
12月9日,Log4Shell (CVE-2021-44228)漏洞的PoC 漏洞运用在GitHub公布。接着产生了很多对于有漏洞的网络服务器的规模性扫描仪主题活动。12月11日-13日,攻击者取得成功运用ONUS服务平台Cyclos网络服务器上的Log4Shell漏洞,并取得成功移植了侧门手机软件。
Cyclos于12月13日通告ONUS 系统修复,可是太晚了。尽管ONUS早已修补了Cyclos案例中的安全性漏洞,可是漏洞潜伏期促使攻击者取得成功盗取了比较敏感数据库的数据。被盗的数据库文件有近200万的客户数据,包含KYC (Know Your Customer)数据、hach的登陆密码等。
实际上,Log4Shell漏洞存有于一个仅用以程序编写目地是沙盒网络服务器,但因为系统设置对策促使容许进一步浏览比较敏感数据储存部位的删掉数据。
200万数据泄漏
接着,攻击者规定ONUS被要求付款500万赎金,不然会公布盗取的数据。12月25日,因为ONUS未付款全额赎金,攻击者在影子网络数据贸易市场售卖顾客数据。
近200万ONUS客户数据被售卖
攻击者称有包括顾客本人数据和hach后的登陆密码的395个ONUS数据库表。样版数据中包括顾客身份证件图象、护照签证、及其KYC全过程中顾客递交的视频短片。
事情剖析
网络信息安全企业 CyStack对该事情开展了剖析发觉进攻全过程不仅运用了一个Log4j漏洞。Log4j漏洞利用只是为攻击者给予了一个通道,更高的问题是ONUS的Amazon S3 buckets不正确配备造成攻击者可以浏览,最后造成了比较敏感数据的泄漏。攻击者获得的顾客数据包含:
- 名字
- 电子邮箱和手机号码
- 详细地址
- KYC信息内容
- 数据加密的登陆密码
- 买卖历史时间
- 别的数据加密的信息内容
- 补丁包
现阶段,对于Java 8版本的Log4j 2.17.1版本早已公布,提议客户尽早升级到全新版本。除此之外,对于Java 7的2.12.4版本和针对Java 6的2.3.2版本也会在最近公布,提议客户不断关心。
文中翻譯自:https://www.bleepingcomputer.com/news/security/fintech-firm-hit-by-log4j-hack-refuses-to-pay-5-million-ransom/倘若转截,请标明全文详细地址。