Criminelen maken actief gebruik van een recent gedicht beveiligingslek in Oracle WebLogic Server om systemen met ransomware te infecteren. Afgelopen weekend verscheen er een noodpatch voor het beveiligingslek, waardoor aanvallers op afstand kwetsbare servers kunnen overnemen.
"Deze kwetsbaarheid is eenvoudig voor aanvallers te misbruiken, aangezien iedereen met http-toegang tot de WebLogic-server de aanval kan uitvoeren", aldus Pierre Cadieux van Cisco. Volgens Cadieux wordt de kwetsbaarheid al zeker sinds 17 april aangevallen. De noodpatch van Oracle verscheen op 26 april. De eerste fase van de aanvallen met ransomware werd op 25 april waargenomen.
Via de kwetsbaarheid kunnen aanvallers de Sodinokibi-ransomware binnen het netwerk van het slachtoffer uitrollen. Deze ransomware versleutelt allerlei bestanden. Voor het ontsleutelen van de bestanden moet een bedrag van 2500 dollar worden betaald. Wanneer het slachtoffer dit niet op tijd doet wordt het losgeld verdubbeld naar 5000 dollar. Cisco verwacht dat het WebLogic-lek op grote schaal misbruikt zal worden en adviseert organisaties om de beveiligingsupdate zo snel als mogelijk te installeren.
Deze posting is gelocked. Reageren is niet meer mogelijk.