Az új React2Shell-hiba ajtót nyit a zsarolóvírusoknak

Villámgyors támadás, automatizált kártevő

A biztonsági szakértők szerint december 5-én a Weaxor nevű zsarolóvírus-csoport is kihasználta a React2Shell hibát – a támadás során kevesebb mint egy perc alatt történt a fertőzés. A Weaxor 2024 végén bukkant fel, valószínűsíthetően a Microsoft SQL-szervereket célzó, korábbi Mallox zsarolóvírus átmárkázásaként. A támadók jellemzően nyilvánosan elérhető szervereket céloznak, és viszonylag alacsony váltságdíjat követelnek.

Nincs adatlopás, gyors végrehajtás

A támadás után a hackerek egy elrejtett PowerShell-parancsot indítottak, amely a Cobalt Strike eszközzel kommunikált, vezérlési jogot biztosítva a támadóknak. Ezután letiltották a Windows Defender valós idejű védelmét, és elindították a zsarolóvírust – mindez egyetlen percen belül lezajlott. A támadás csak arra a végpontra koncentrált, amelyen a hiba fennállt, nem történt oldalirányú terjedés.

Zsarolóüzenet és elmosott nyomok

A titkosított fájlok .WEAX kiterjesztést kaptak, minden érintett mappában ott volt a RECOVERY INFORMATION.txt fájl a váltságdíj-fizetési utasításaival. A hackerek törölték az árnyékmásolatokat és az eseménynaplókat is, hogy megnehezítsék a helyreállítást és a nyomozást.

Fokozott veszély, nem elég a javítás

A szakértők szerint a React2Shell kihasználását gyanús folyamatindítások – például cmd.exe vagy powershell.exe node.exe-ből –, szokatlan kimenő kapcsolatok, letiltott biztonsági szolgáltatások vagy ugrásszerű erőforrás-felhasználás jelezhetik. Önmagában a sebezhetőség javítása nem elég; érdemes naplókat és viselkedési figyelmeztetéseket is átvizsgálni.

2025, adrienne, www.bleepingcomputer.com alapján