Villámgyors támadás, automatizált kártevő
A biztonsági szakértők szerint december 5-én a Weaxor nevű zsarolóvírus-csoport is kihasználta a React2Shell hibát – a támadás során kevesebb mint egy perc alatt történt a fertőzés. A Weaxor 2024 végén bukkant fel, valószínűsíthetően a Microsoft SQL-szervereket célzó, korábbi Mallox zsarolóvírus átmárkázásaként. A támadók jellemzően nyilvánosan elérhető szervereket céloznak, és viszonylag alacsony váltságdíjat követelnek.
Nincs adatlopás, gyors végrehajtás
A támadás után a hackerek egy elrejtett PowerShell-parancsot indítottak, amely a Cobalt Strike eszközzel kommunikált, vezérlési jogot biztosítva a támadóknak. Ezután letiltották a Windows Defender valós idejű védelmét, és elindították a zsarolóvírust – mindez egyetlen percen belül lezajlott. A támadás csak arra a végpontra koncentrált, amelyen a hiba fennállt, nem történt oldalirányú terjedés.
Zsarolóüzenet és elmosott nyomok
A titkosított fájlok .WEAX kiterjesztést kaptak, minden érintett mappában ott volt a RECOVERY INFORMATION.txt fájl a váltságdíj-fizetési utasításaival. A hackerek törölték az árnyékmásolatokat és az eseménynaplókat is, hogy megnehezítsék a helyreállítást és a nyomozást.
Fokozott veszély, nem elég a javítás
A szakértők szerint a React2Shell kihasználását gyanús folyamatindítások – például cmd.exe vagy powershell.exe node.exe-ből –, szokatlan kimenő kapcsolatok, letiltott biztonsági szolgáltatások vagy ugrásszerű erőforrás-felhasználás jelezhetik. Önmagában a sebezhetőség javítása nem elég; érdemes naplókat és viselkedési figyelmeztetéseket is átvizsgálni.
