La empresa de ciberseguridad de Sophos ha publicado un informe donde desvela la actividad de escaneos e intentos de explotación de Log4j detectados por su telemetría y monitorización, así como los mapas de las ubicaciones de las URLs de Exploits C2 y de las IPs de origen de intento de exploits.
Sean Gallagher, investigador principal de amenazas de Sophos, comentó: “Tras cumplirse la primera semana desde la exposición de la vulnerabilidad Log4j, Sophos sigue monitorizando los intentos de escaneo a nivel mundial. En anteriores casos de intentos de explotación y escaneos de vulnerabilidad hemos visto grandes picos iniciales seguidos de caídas significativas. En el caso de Log4j, no estamos observando ningún descenso, sino más bien escaneos e intentos de explotación diarios detectados desde una infraestructura distribuida globalmente. Esperamos que los altos niveles de actividad continúen, debido a la naturaleza multifacética de la vulnerabilidad y a la amplia extensión de parches necesarios para protegerse.”
El experto de Sophos explicó que, en algunos casos, una solicitud proviene de una dirección IP en una región geográfica, con URLs integradas para Log4j que se conectan a servidores en otros lugares del mundo, a veces incluso a múltiples servidores diferentes. A pesar de que una buena parte de estas solicitudes provienen de pruebas benignas o “investigaciones” llevadas a cabo por pruebas de penetración y otros investigadores de seguridad, una gran parte de ellas son maliciosas.
Gallagher explicó que, por ejemplo, la telemetría de Sophos muestra que el 59% de los intentos de ataque tratan de poner en contacto a Log4j con direcciones de internet en la India. Más del 40% de los intentos de explotación tratan de establecer conexión de Log4j con direcciones de Estados Unidos.
Sin embargo, los intentos de ataque en sí se originan predominantemente en China y Rusia, y la mayoría de estos intentos están relacionados con la ciberdelincuencia. Un servidor en Rusia, conectado a la red de bots Kinsing, dedicada al minado de criptomonedas, es responsable de más del 10% de los intentos de explotación que Sophos ha detectado, más del 33% del tráfico procedente de ese país.