Sophos registra le scansioni per le vulnerabilità Log4j in tutto il mondo e nei paesi da cui provengono molti exploit: Cina e Russia. I risultati mostrano due mappe di calore. Sean Gallagher, ricercatore senior sulle minacce di Sophos
“Sophos continua a monitorare le scansioni per le vulnerabilità Log4j. In passato, abbiamo visto grandi picchi e poi bruschi cali in tali scansioni e tentativi di exploit. Nel caso di Log4j, non abbiamo riscontrato un calo, ma piuttosto scansioni giornaliere e tentativi di accesso da un'infrastruttura distribuita a livello globale. Ci aspettiamo che questo alto livello di attività continui poiché la vulnerabilità è multiforme e richiede patch estese.
Come già indicato, in alcuni casi una richiesta proviene da un indirizzo IP in una regione geografica, con URL incorporati per Log4j che si connettono a server altrove, a volte a più server diversi. E mentre alcune di queste richieste sono test innocui o "ricerche" da parte di penetration tester e altri ricercatori di sicurezza, una percentuale maggiore è dannosa".
“Ad esempio, la telemetria di Sophos mostra che il 59% dei tentativi di exploit mira a connettere Log4j a indirizzi Internet in India. Oltre il 40% dei tentativi di exploit tenta di connettere Log4j con indirizzi Internet negli Stati Uniti.” I tentativi di scansione in Germania rappresentano circa l'11% dei casi registrati dai SophosLabs in tutto il mondo, ma includono anche attività delle società di sicurezza .
“Tuttavia, gli stessi tentativi di exploit provengono prevalentemente da Cina e Russia, con la maggior parte di questi tentativi probabilmente legati al crimine informatico. Un server in Russia connesso alla botnet di mining di criptovalute Kinsing è responsabile di oltre il 10% dei tentativi di exploit osservati da Sophos, ovvero oltre il 33% di tutto il traffico proveniente dalla Russia". Quando si tratta di exploit, la Germania è al 2%.
Sophos pubblica inoltre l'articolo dettagliato “Logjam: Log4j exploit tenta continue in scansioni e attacchi distribuiti a livello globale”. Descrive la nuova attività di scansione ed exploit di Log4j mostrata sopra e fornisce le mappe di calore "Posizione degli URL Exploit C2" e "IP origine tentativi di exploit".
Maggiori informazioni su Sophos.com
A proposito di Sophos Sophos gode della fiducia di oltre 100 milioni di utenti in 150 paesi. Offriamo la migliore protezione contro le minacce informatiche complesse e la perdita di dati. Le nostre soluzioni di sicurezza complete sono facili da implementare, utilizzare e gestire. Offrono il costo totale di proprietà più basso del settore. Sophos offre soluzioni di crittografia pluripremiate, soluzioni di sicurezza per endpoint, reti, dispositivi mobili, e-mail e web. C'è anche il supporto dei SophosLabs, la nostra rete globale di centri di analisi proprietari. Le sedi di Sophos sono a Boston, USA e Oxford, UK.