加密货币交易平台ONUS遭遇Log4j攻击拒绝支付500万赎金。ONUS是越南最大的加密货币交易所,其支付系统运行了一个易受攻击的Log4j版本,并遭受了网络攻击。攻击者向ONUS索要500万美元的赎金,并威胁要公开用户数据。事件概览12月9日,Log4Shell(CVE-2021-44228)漏洞的PoC利用在GitHub上公开。随后针对易受攻击的服务器进行了大规模扫描活动。12月11日至13日,攻击者成功利用ONUS平台Cyclos服务器上的Log4Shell漏洞,成功植入后门软件。Cyclos于12月13日通知ONUS修复系统,但为时已晚。虽然ONUS已经修复了Cyclos实例中的安全漏洞,但漏洞窗口允许攻击者成功窃取敏感数据库中的数据。被盗数据库包含近200万用户数据,包括KYC(了解你的客户)数据、哈希密码等。事实上,Log4Shell漏洞存在于仅出于编程目的而被沙盒化的服务器上,但由于系统配置措施允许进一步访问敏感数据存储位置以删除数据。200万数据泄露随后,攻击者要求ONUS支付500万赎金,否则被盗数据将被公开。12月25日,由于ONUS没有支付足够的赎金,攻击者在暗网数据交易市场出售客户数据。近200万份ONUS客户数据被出售攻击者声称拥有395个ONUS数据库表,其中包含客户个人数据和哈希密码。样本数据包括客户身份证、护照的图像以及客户在KYC过程中提交的视频剪辑。事件分析网络安全公司CyStack对该事件进行了分析,发现攻击过程不仅利用了一个Log4j漏洞。Log4j漏洞的利用只是为攻击者提供了一个切入点。更大的问题是ONUS的AmazonS3bucket配置错误,让攻击者获得访问权限,最终导致敏感数据泄露。攻击者获取的客户数据包括:姓名Email地址和手机号码地址KYC信息加密密码交易记录其他加密信息Patch目前Java8的Log4j2.17.1版本已经发布,建议用户更新到尽快更新最新版本。此外,Java7的2.12.4版本和Java6的2.3.2版本也将于近期发布,请广大用户持续关注。本文翻译自:https://www.bleepingcomputer.com/news/security/fintech-firm-hit-by-log4j-hack-refuses-to-pay-5-million-ransom/如有转载请注明原地址。
