被称为Log4Shell的Apache Log4j安全漏洞CVE-2021-44228公布后，开采活动大举展开。安全厂商发现，黑客已经出手，藉由开采这项漏洞散布一只新勒索软件Khonsari。CISA要求美国联邦政府机构应在圣诞节前完成修补。

　　Log4Shell漏洞公布后的开采活动多半以Linux系统为目标，不过安全厂商包括BitDefender侦测到的Khonsari则锁定Windows机器。它是一个.NET binary档，一旦被执行，该档案会列出受害机器所有磁碟，除C:\槽外整个加密，而在C:\槽上，Khonsari会加密包括使用者目录下的文件、影片、图片、下载及桌面资料夹中，除了.ini及.lnk以外的档案。档案被加密后就会加上khonsari的副档名。

　　安全专家Michael Gillspie指出，Khonsari并非高明的开发人员撰写，但仍然使用了有效加密法，一旦用户中招，不是得自行破解就是付赎金一途。

　　奇妙的是，和一般勒索软件不同，勒索信息中并未留下付赎金的电子钱包网址或是互动式联络方式，而是美国路易西安那州一家名为Khonsari的古董店的Gmail信箱及电话。研究人员以之为该勒索软件命名，但不确定这名字是个诱饵或是受害者，也怀疑Khonsari更可能是个Wiper程式，受害档案将一去不复返无法赎回。

　　BitDefender也发现，下载Khonsari的服务器，随后也散布远端存取木马程式（Remote Access Trojan，RAT）Orcus。

　　这是第一起利用Log4Shell漏洞的勒索软件攻击。一般相信，针对Log4j重大漏洞的开采活动接下来将不断涌现，包括手法高度复杂的恶意程式。CheckPoint周一指出，Log4Shell开采程式上线一天内，已经快速衍生出60种更强大的变形，像是可经由HTTP或HTTPS开采，而有的开采程式结合了多种绕过防护的手法，意谓着一层防护已经不足以阻挡可能的恶意活动。

　　微软已侦测到试图安装采矿软件木马程式及渗透测试工具Cobalt Strike的活动。其他安全厂商则观测到僵尸网路病毒Mirai、Tsunami/Muhstik和Kinsing的蠢动。

　　美国国土安全部下网路安全暨基础架构安全署（CISA）主任Jen Esterly上周指出Log4Shell漏洞已遭到大量开采，由于其使用广泛，对网路防御人员形成重大挑战，要求资讯系统厂商必须立刻辨识、缓解及修补使用Apache Log4j的产品，并向客户提出清楚说明。

　　CISA已经将Log4Shell漏洞加入到「已知被开采漏洞」清单，要求美国联邦政府机关紧急修补或缓解该漏洞。根据11月美国国土安全部的安全命令，今年内公布的漏洞应该在2周内修补。由于该漏洞是于12月10日公布，因此联邦政府必须在12月24日前修补完成。