“从历史上看,大多数类型的勒索软件都需要某种形式的用户交互,例如用户打开电子邮件附件,点击恶意链接或在设备上运行恶意软件,”Talos研究员Pierre Cadieux,Colin Grady,Jaeson Schultz和Matt Valites在周二的帖子中写道。 “在这种情况下,攻击者只是利用Oracle WebLogic漏洞,导致受影响的服务器从攻击者控制的IP地址188.166.74[.]218 和 45.55.211[.]79下载勒索软件的副本。”
思科Talos的研究人员报告说,该漏洞自4月21日以来一直被积极利用。发现攻击者在易受攻击的Oracle WebLogic服务器上安装了名为Sodinokibi的新勒索软件。除了加密重要数据外,勒索软件还试图破坏备份,防止受害者使用备份来恢复加密数据。然后,攻击者使用相同的漏洞安装另一个名为GandCrab的勒索软件。