Criminelen maken actief gebruik van een recent gedicht beveiligingslek in Confluence om ongepatchte servers met ransomware en een combinatie van een rootkit en cryptominer te infecteren. Confluence is een door Atlassian ontwikkeld wikiplatform waarmee teams van organisaties kunnen samenwerken.

Op 20 maart verscheen er een beveiligingsupdate die twee kwetsbaarheden verhielp. Via één van deze beveiligingslekken kan een ongeauthenticeerde aanvaller op afstand willekeurige code op Confluence-servers uitvoeren. Drie weken later op 11 april verscheen er een proof-of-concept-exploit om van de kwetsbaarheid misbruik te maken. Een dag later werden de eerste aanvallen waargenomen.

Bij deze aanvallen werd de Gandcrab-ransomware geïnstalleerd, zo meldde securitybedrijf Alert Logic eerder al. Volgens onderzoekers van het bedrijf zullen Confluence-applicaties vaak waardevolle bedrijfsgegevens bevatten en mogelijk niet goed zijn geback-upt. Het losgeld dat de ransomware oplevert zal dan waarschijnlijk ook veel hoger zijn dan het installeren van een cryptominer, die de rekenkracht van de server gebruikt om cryptovaluta te delven.

Antivirusbedrijf Trend Micro meldt dat aanvallers inmiddels ook begonnen zijn om via het beveiligingslek een combinatie van een rootkit en cryptominer op kwetsbare servers te installeren. De rootkit wordt gebruikt om de cryptominer te verbergen. Daarnaast kan de rootkit het cpu-gebuik van de server vervalsen. Daardoor lijkt het voor beheerders dat de processor niet wordt belast, terwijl dat in werkelijkheid wel het geval is. Organisaties krijgen dan ook het advies om de beschikbare update te installeren.