Cibercriminosos estão explorando uma vulnerabilidade crítica no Apache ActiveMQ, identificada como CVE-2023-46604, para realizar ataques envolvendo o ransomware Mauri. Essa falha permite que atacantes executem comandos remotos maliciosos em servidores desatualizados, comprometendo sistemas e resultando em criptografia de arquivos e demandas de resgate.

O Apache ActiveMQ, um servidor de mensagens open-source amplamente utilizado, apresenta essa vulnerabilidade devido à manipulação do tipo de classe serializada no protocolo OpenWire, que permite o carregamento de arquivos XML maliciosos. Servidores expostos e sem patches podem ser dominados por invasores, que utilizam essa brecha para realizar ataques sofisticados. Nos ataques recentes, o Mauri ransomware foi utilizado para criptografar arquivos em sistemas comprometidos, aplicando a extensão .locked e deixando notas de resgate intituladas “READ_TO_DECRYPT.html” ou “FILES_ENCRYPTED.html”.

Apesar de seu código-fonte estar disponível para pesquisa pública, os invasores têm personalizado a ferramenta para suas campanhas, modificando configurações como carteiras digitais e canais de contato. Para mitigar esses riscos, é essencial adotar medidas de proteção, incluindo a atualização de sistemas para garantir que todas as instâncias do Apache ActiveMQ estejam atualizadas para versões corrigidas, especialmente aquelas vulneráveis, como 5.18.0–5.18.2, 5.17.0–5.17.5, 5.16.0–5.16.6 e versões anteriores.