ظهر ما يبدو أنه نسخة جديدة من برنامج الفدية Babuk لمهاجمة خوادم VMware ESXi في العديد من البلدان، بما في ذلك ضربة مؤكدة على IxMetro PowerHost، وهي شركة استضافة مراكز البيانات التشيلية. يطلق المتغير على نفسه اسم "SEXi"، وهو عبارة عن مسرحية على النظام الأساسي المستهدف الذي يختاره.
وفقًا لباحث الأمن السيبراني CronUp فرنانديز الألماني، أصدر الرئيس التنفيذي لشركة PowerHost، ريكاردو روبيم، بيانًا أكد فيه أن متغيرًا جديدًا من برامج الفدية قد أغلق خوادم الشركة باستخدام امتداد الملف .SEXi، مع عدم معرفة ناقل الوصول الأولي إلى الشبكة الداخلية حتى الآن. وطلب المهاجمون فدية قدرها 140 مليون دولار، وهو ما أشار روبيم إلى أنه لن يتم دفعه.
يقف ظهور SEXi على مفترق طرق بين اتجاهين رئيسيين لبرامج الفدية: موجة من الجهات الفاعلة التي تشكل تهديدًا تم تطوير برامج ضارة استنادًا إلى كود مصدر بابوك; والشهوة للتنازل عن خوادم VMware EXSi المثيرة للاهتمام.
IX PowerHost Attack جزء من حملة برامج الفدية الأوسع
وفي الوقت نفسه، كشف ويل توماس، باحث CTI في Equinix، عما يعتقد أنه ثنائي مرتبط بذلك المستخدم في الهجوم، والذي أطلق عليه اسم "LIMPOPOx32.bin" وتم وضع علامة عليه كإصدار Linux من Babuk في VirusTotal. في وقت الصحافة، تبلغ نسبة اكتشاف هذه البرامج الضارة 53% على VT، حيث قام 34 من أصل 64 من بائعي الخدمات الأمنية بوضع علامة عليها على أنها ضارة منذ أن تم تحميلها لأول مرة في 8 فبراير. رصدتها مرة أخرى في عيد الحب، عندما تم استخدامه بدون مقبض "SEXi" في هجوم على كيان في تايلاند.
لكن توماس اكتشف أيضًا ثنائيات أخرى ذات صلة. كما هو تويتد، "هجوم برنامج الفدية SEXi على IXMETRO POWERHOST مرتبط بحملة أوسع ضربت ثلاث دول على الأقل في أمريكا اللاتينية." ويطلق هؤلاء على أنفسهم اسم سقطرى (الذي استُخدم في الهجوم الذي وقع في تشيلي يوم 23 مارس/آذار)؛ وليمبوبو مرة أخرى (استخدمت في هجوم في البيرو يوم 9 فبراير)؛ وفورموزا (استخدم في هجوم في المكسيك يوم 26 فبراير). ومما يثير القلق أنه في وقت كتابة المقالة، سجلت جميع الحالات الثلاثة صفرًا في VT.
تعرض النتائج معًا تطور حملة جديدة باستخدام تكرارات SEXi المختلفة التي تعود جميعها إلى بابوك.
تظهر TTPs الغامضة في هجمات SEXi
ليس هناك ما يشير إلى المكان الذي نشأ منه مشغلو البرامج الضارة أو ما هي نواياهم. ولكن ببطء تظهر مجموعة من التكتيكات والتقنيات والإجراءات. أولاً، تأتي تسميات الثنائيات من أسماء الأماكن. ليمبوبو هي المقاطعة الواقعة في أقصى شمال جنوب أفريقيا. سقطرى جزيرة يمنية في المحيط الهندي؛ وكانت فورموزا جمهورية قصيرة العمر تقع في تايوان في أواخر القرن التاسع عشر، بعد أن تنازلت أسرة تشينغ الصينية عن حكمها على الجزيرة.
وكما أشار MalwareHunterTeam في X، "ربما من المثير للاهتمام/الجدير بالذكر حول برنامج الفدية 'SEXi' هذا أن طريقة الاتصال التي حددها الممثلون في المذكرة هي الجلسة. على الرغم من أننا رأينا بعض الممثلين يستخدمونه منذ سنوات مضت، إلا أنني [لا] أتذكر رؤيته فيما يتعلق بأي حالات/ممثلين كبيرين/خطيرين."
الجلسة عبارة عن تطبيق مراسلة فورية مشفر عبر الأنظمة الأساسية من طرف إلى طرف يؤكد على سرية المستخدم وعدم الكشف عن هويته. وحثت مذكرة الفدية في هجوم IX PowerHost الشركة على تنزيل التطبيق ثم إرسال رسالة تحتوي على الرمز “SEXi”؛ حثت الملاحظة السابقة في الهجوم التايلاندي على تنزيل الجلسة مع تضمين الرمز "Limpopo".
EXSi مثير للمهاجمين عبر الإنترنت
تعمل منصة EXSi Hypervisor من VMware على نظام التشغيل Linux ونظام التشغيل المشابه لنظام التشغيل Linux، ويمكنها استضافة العديد من الأجهزة الافتراضية الغنية بالبيانات (VMs). لقد كان أ هدف شائع لممثلي برامج الفدية لسنوات حتى الآن، ويرجع ذلك جزئيًا إلى حجم سطح الهجوم: هناك عشرات الآلاف من خوادم ESXi المعرضة للإنترنت، وفقًا لبحث Shodan، ومعظمها يعمل بإصدارات أقدم. وهذا لا يأخذ في الاعتبار تلك التي يمكن الوصول إليها بعد اختراق الوصول الأولي لشبكة الشركة.
المساهمة أيضا في الاهتمام المتزايد لعصابات برامج الفدية بـ EXSi، لا يدعم النظام الأساسي أي أدوات أمنية تابعة لجهة خارجية.
"تعد الأجهزة غير المُدارة مثل خوادم ESXi هدفًا كبيرًا لممثلي تهديدات برامج الفدية،" وفقًا لتقرير صادر عن شركة ESXi. إلى الأمام صدر العام الماضي. "ويرجع ذلك إلى البيانات القيمة الموجودة على هذه الخوادم، والتي يتزايد عددها استغلال نقاط الضعف التي تؤثر عليهموتعرضهم المتكرر للإنترنت وصعوبة تنفيذ الإجراءات الأمنية، مثل اكتشاف نقطة النهاية والاستجابة لها (EDR)، على هذه الأجهزة. يعد ESXi هدفًا عالي الإنتاجية للمهاجمين نظرًا لأنه يستضيف العديد من الأجهزة الافتراضية، مما يسمح للمهاجمين بنشر البرامج الضارة مرة واحدة وتشفير العديد من الخوادم بأمر واحد.
برنامج VMware لديه دليل لتأمين EXSi البيئات. تتضمن الاقتراحات المحددة ما يلي: التأكد من تصحيح برنامج ESXi وتحديثه؛ تقوية كلمات المرور؛ إزالة الخوادم من الإنترنت؛ مراقبة الأنشطة غير الطبيعية على حركة مرور الشبكة وعلى خوادم ESXi؛ وتأكد من وجود نسخ احتياطية للأجهزة الافتراضية خارج بيئة ESXi لتمكين الاسترداد.
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
- أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
- أفلاطون كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
- أفلاطون هيلث. التكنولوجيا الحيوية وذكاء التجارب السريرية. الوصول هنا.
- المصدر https://www.darkreading.com/threat-intelligence/sexi-ransomware-desires-vmware-hypervisors
- :لديها
- :يكون
- :ليس
- :أين
- $ UP
- 23
- 26%
- 7
- 8
- 9
- a
- غير طبيعى
- من نحن
- الوصول
- وفقا
- حسابي
- أنشطة
- الجهات الفاعلة
- تؤثر
- أفريقيا
- بعد
- مرة أخرى
- منذ
- الكل
- السماح
- سابقا
- أمريكي
- an
- و
- الغفلية
- أي وقت
- التطبيق
- يبدو
- تطبيق
- هي
- AS
- At
- مهاجمة
- الهجمات
- الى الخلف
- النسخ الاحتياطي
- على أساس
- BE
- لان
- كان
- يجري
- يعتقد
- BIN
- خرق
- أوسع
- لكن
- by
- دعوة
- دعوات
- الحملات
- CAN
- مركز
- الرئيس التنفيذي
- تشيلي
- الصين
- خيار
- الكود
- يأتي
- Communication
- حول الشركة
- مساومة
- سرية
- تم تأكيد
- المساهمة
- منظمة
- دولة
- مفترق
- الأمن السيبراني
- البيانات
- مركز البيانات
- يوم
- نشر
- الرغبات
- كشف
- التطوير التجاري
- الأجهزة
- صعوبة
- اكتشف
- لا توجد الآن
- دون
- بإمكانك تحميله
- يطلق عليها اسم
- في وقت سابق
- الظهور
- ظهرت
- ظهور
- الناشئة
- مؤكدا
- تمكين
- تشفير
- مشفرة
- النهائي إلى نهاية
- نقطة النهاية
- ضمان
- كيان
- البيئة
- البيئات
- equinix
- حتى
- مكشوف
- تعرض
- تمديد
- فبراير
- قم بتقديم
- النتائج
- الاسم الأول
- في حالة
- إلى الأمام
- متكرر
- جديد
- تبدأ من
- إضافي
- عصابات
- عظيم
- متزايد
- اهتمام متزايد
- كان
- مقبض
- يملك
- he
- ضرب
- مضيف
- استضافة
- المضيفين
- HTML
- HTTPS
- i
- تحقيق
- in
- تتضمن
- بما فيه
- هندي
- وأشار
- إشارة
- في البداية
- لحظة
- النوايا
- مصلحة
- وكتابة مواضيع مثيرة للاهتمام
- داخلي
- Internet
- إلى
- جزيرة
- نشر
- IT
- التكرارات
- انها
- نفسها
- JPG
- اسم العائلة
- العام الماضي
- متأخر
- لاتيني
- أمريكا اللاتينية
- قيادة
- الأقل
- مرتبط
- لينكس
- تقع
- مقفل
- الآلات
- رائد
- جعل
- خبيث
- البرمجيات الخبيثة
- مارس
- يمكن
- الإجراءات
- ذكر
- الرسالة
- الرسائل
- طريقة
- المكسيك
- مليون
- مراقبة
- أكثر
- متعدد
- أسماء
- شبكة
- ازدحام انترنت
- جديد
- لا
- لاحظ
- رواية
- الآن
- عدد
- كثير
- محيط
- of
- أقدم
- on
- مرة
- ONE
- مشغلي
- or
- OS
- أخرى
- خارج
- في الخارج
- على مدى
- مدفوع
- جزء
- كلمات السر
- بيرو
- المكان
- المنصة
- أفلاطون
- الذكاء افلاطون البيانات
- أفلاطون داتا
- بلايستشن
- صحافة
- الإجراءات
- فدية
- الفدية
- رانسومواري الهجوم
- طفح جلدي
- استرجاع
- مسجل
- ذات صلة
- علاقة
- صدر
- تذكر
- إزالة
- تقرير
- جمهورية
- الباحث
- استجابة
- قاعدة
- تشغيل
- يدير
- s
- بحث
- تأمين
- أمن
- التدابير الأمنية
- رؤية
- رأيت
- إرسال
- خوادم
- الجلسة
- طقم
- عدة
- عرض
- منذ
- عزباء
- المقاس
- ببطء
- تطبيقات الكمبيوتر
- بعض
- مصدر
- جنوب
- جنوب أفريقيا
- محدد
- محدد
- المدرجات
- ملخص الحساب
- هذه
- الدعم
- بالتأكيد
- المساحة
- التكتيكات
- تايوان
- أخذ
- الهدف
- تقنيات
- عشرات
- التايلاندية
- تايلاند
- أن
- •
- من مشاركة
- منهم
- أنفسهم
- then
- هناك.
- تشبه
- طرف ثالث
- توماس
- هؤلاء
- الآلاف
- التهديد
- الجهات التهديد
- ثلاثة
- الوقت
- إلى
- حركة المرور
- جديد الموضة
- اثنان
- كشف
- غير معروف
- حديث جديد
- تم التحميل
- وحث
- مستعمل
- مستخدم
- استخدام
- القيمة
- متنوع
- مختلف
- Ve
- الباعة
- الإصدار
- الإصدارات
- افتراضي
- في إم وير
- نقاط الضعف
- وكان
- ابحث عن
- متى
- التي
- في حين
- من الذى
- على نطاق أوسع
- سوف
- مع
- بدون
- قيمة
- سوف
- X
- عام
- سنوات
- حتى الآن
- زفيرنت
- صفر