Hvad der ser ud til at være en frisk variant af Babuk ransomware er dukket op for at angribe VMware ESXi-servere i flere lande, inklusive et bekræftet hit på IxMetro PowerHost, et chilensk datacenter-hostingfirma. Varianten kalder sig selv "SEXi", en leg på dens foretrukne platform.
Ifølge CronUp cybersikkerhedsforsker Germán Fernandez, udsendte PowerHost CEO Ricardo Rubem en erklæring, der bekræftede, at en ny ransomware-variant havde låst virksomhedens servere ved hjælp af .SEXi-filtypen, med den indledende adgangsvektor til det interne netværk endnu ukendt. Angriberne anmodede om 140 millioner dollars i løsesum, som Rubem angav ikke ville blive betalt.
SEXis fremkomst står ved krydsfeltet mellem to store ransomware-tendenser: udslæt af trusselsaktører, der har udviklet malware baseret på Babuk-kildekoden; og et begær efter at kompromittere fristende saftige VMware EXSi-servere.
IX PowerHost Attack Del af Wider Ransomware Campaign
I mellemtiden afslørede Will Thomas, CTI-forsker ved Equinix, hvad han mener er binært relateret til det, der blev brugt i angrebet, døbt "LIMPOPOx32.bin" og tagget som en Linux-version af Babuk i VirusTotal. Ved pressetid, at malware har en registreringsrate på 53 % på VT, hvor 34 ud af 64 sikkerhedsleverandører har markeret det som ondsindet, siden det først blev uploadet den 8. februar. MalwareHunterTeam opdagede det tilbage på Valentinsdag, hvor den blev brugt uden "SEXi"-håndtaget i et angreb på en enhed i Thailand.
Men Thomas opdagede yderligere andre, relaterede binære filer. Som han Tweetet, "SEXi ransomware-angreb på IXMETRO POWERHOST forbundet med en bredere kampagne, der har ramt mindst tre latinamerikanske lande." Disse kalder sig Socotra (brugt i et angreb i Chile den 23. marts); Limpopo igen (brugt i et angreb i Peru den 9. februar); og Formosa (brugt i et angreb i Mexico den 26. februar). Vedrørende ved pressetidspunktet registrerede alle tre nul-detekteringer i VT.
Tilsammen viser resultaterne udviklingen af en ny kampagne ved hjælp af forskellige SEXi-iterationer, der alle fører tilbage til Babuk.
Skyggefulde TTP'er dukker op i SEXi-angreb
Der er ingen indikation af, hvor malware-operatørerne stammer fra, eller hvad deres hensigter er. Men langsomt dukker et sæt taktikker, teknikker og procedurer op. For det første kommer binærenes nomenklatur fra stednavne. Limpopo er den nordligste provins i Sydafrika; Socotra er en yemenitisk ø i Det Indiske Ocean; og Formosa var en kortvarig republik beliggende på Taiwan i slutningen af 1800-tallet, efter Kinas Qing-dynasti afstod sit styre over øen.
Og, som MalwareHunterTeam påpegede på X, "måske interessant / værd at nævne om denne 'SEXi' ransomware, at kommunikationsmetoden specificeret af aktørerne i noten er Session. Selvom vi [har] set nogle skuespillere bruge det selv for år siden allerede, kan jeg [ikke] huske at have set det i forhold til nogen store/alvorlige sager/skuespillere."
Session er en cross-platform, end-to-end krypteret instant messaging-applikation, der understreger brugernes fortrolighed og anonymitet. Løsesedlen i IX PowerHost-angrebet opfordrede virksomheden til at downloade appen og derefter sende en besked med koden "SEXi"; den tidligere note i det thailandske angreb opfordrede til download af sessionen, men til at inkludere koden "Limpopo."
EXSi er sexet over for cyberangribere
VMwares EXSi hypervisor platform kører på Linux og Linux-lignende OS og kan hoste flere, datarige virtuelle maskiner (VM'er). Det har været en populært mål for ransomware-aktører i årevis, delvist på grund af størrelsen af angrebsoverfladen: Der er titusindvis af ESXi-servere udsat for internettet, ifølge en Shodan-søgning, hvor de fleste af dem kører ældre versioner. Og det tager ikke højde for dem, der er tilgængelige efter et indledende adgangsbrud på et virksomhedsnetværk.
Bidrager også til ransomware-banders voksende interesse for EXSi, understøtter platformen ikke nogen tredjeparts sikkerhedsværktøjer.
"Uadministrerede enheder såsom ESXi-servere er et godt mål for ransomware-trusler," ifølge en rapport fra Forspejder udgivet sidste år. "Det er på grund af de værdifulde data på disse servere, et stigende antal udnyttede sårbarheder, der påvirker dem, deres hyppige interneteksponering og vanskeligheden ved at implementere sikkerhedsforanstaltninger, såsom endpoint detection and response (EDR), på disse enheder. ESXi er et højtydende mål for angribere, da det er vært for flere VM'er, hvilket gør det muligt for angribere at implementere malware én gang og kryptere adskillige servere med en enkelt kommando."
VMware har en vejledning til sikring af EXSi miljøer. Specifikke forslag omfatter: Sørg for, at ESXi-softwaren er patchet og opdateret; hærde adgangskoder; fjerne servere fra internettet; overvåge for unormale aktiviteter på netværkstrafik og på ESXi-servere; og sikre, at der er sikkerhedskopier af VM'erne uden for ESXi-miljøet for at muliggøre gendannelse.
- SEO Powered Content & PR Distribution. Bliv forstærket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk dig selv. Adgang her.
- PlatoAiStream. Web3 intelligens. Viden forstærket. Adgang her.
- PlatoESG. Kulstof, CleanTech, Energi, Miljø, Solenergi, Affaldshåndtering. Adgang her.
- PlatoHealth. Bioteknologiske og kliniske forsøgs intelligens. Adgang her.
- Kilde: https://www.darkreading.com/threat-intelligence/sexi-ransomware-desires-vmware-hypervisors
- :har
- :er
- :ikke
- :hvor
- $OP
- 23
- 26 %
- 7
- 8
- 9
- a
- abnorm
- Om
- adgang
- Ifølge
- Konto
- aktiviteter
- aktører
- påvirker
- afrika
- Efter
- igen
- siden
- Alle
- tillade
- allerede
- amerikansk
- an
- ,
- Anonymitet
- enhver
- app
- kommer til syne
- Anvendelse
- ER
- AS
- At
- angribe
- Angreb
- tilbage
- sikkerhedskopier
- baseret
- BE
- fordi
- været
- være
- mener
- BIN
- brud
- bredere
- men
- by
- ringe
- Opkald
- Kampagne
- CAN
- center
- Direktør
- Chile
- Kina
- valg
- kode
- kommer
- Kommunikation
- selskab
- at gå på kompromis
- fortrolighed
- BEKRÆFTET
- bidrager
- Corporate
- lande
- Vejkryds
- Cybersecurity
- data
- Data Center
- dag
- indsætte
- begær
- Detektion
- Udvikling
- Enheder
- Vanskelighed
- opdaget
- gør ikke
- Don
- downloade
- døbt
- tidligere
- emerge
- opstået
- fremkomsten
- smergel
- at understrege
- muliggøre
- kryptere
- krypteret
- ende til ende
- Endpoint
- sikre
- enhed
- Miljø
- miljøer
- Equinix
- Endog
- udsat
- Eksponering
- udvidelse
- februar
- File (Felt)
- fund
- Fornavn
- Til
- Forspejder
- hyppig
- frisk
- fra
- yderligere
- Bander
- stor
- Dyrkning
- stigende interesse
- havde
- håndtere
- Have
- he
- Hit
- host
- Hosting
- værter
- HTML
- HTTPS
- i
- gennemføre
- in
- omfatter
- Herunder
- indiske
- angivet
- tegn
- initial
- øjeblikkelig
- intentioner
- interesse
- interessant
- interne
- Internet
- ind
- ø
- Udstedt
- IT
- iterationer
- ITS
- selv
- jpg
- Efternavn
- Sidste år
- Sent
- latin
- latinamerikanske
- føre
- mindst
- forbundet
- linux
- placeret
- låst
- Maskiner
- større
- lave
- ondsindet
- malware
- Marts
- kan være
- foranstaltninger
- nævne
- besked
- messaging
- metode
- Mexico
- million
- Overvåg
- mest
- flere
- navne
- netværk
- netværkstrafik
- Ny
- ingen
- Bemærk
- roman
- nu
- nummer
- talrige
- ocean
- of
- ældre
- on
- engang
- ONE
- Operatører
- or
- OS
- Andet
- ud
- uden for
- i løbet af
- betalt
- del
- Nulstilling/ændring af adgangskoder
- peru
- Place
- perron
- plato
- Platon Data Intelligence
- PlatoData
- Leg
- trykke
- procedurer
- Ransom
- ransomware
- Ransomware angreb
- udslæt
- opsving
- registreret
- relaterede
- relation
- frigivet
- huske
- Fjern
- indberette
- Republikken
- forsker
- svar
- Herske
- kører
- løber
- s
- Søg
- fastgørelse
- sikkerhed
- Sikkerhedsforanstaltninger
- se
- set
- send
- Servere
- Session
- sæt
- flere
- udstillingsvindue
- siden
- enkelt
- Størrelse
- langsomt
- Software
- nogle
- Kilde
- Syd
- Sydafrika
- specifikke
- specificeret
- står
- Statement
- sådan
- support
- sikker
- overflade
- taktik
- taiwan
- Tag
- mål
- teknikker
- tiere
- thai
- Thailand
- at
- deres
- Them
- selv
- derefter
- Der.
- Disse
- tredjepart
- denne
- thomas
- dem
- tusinder
- trussel
- trusselsaktører
- tre
- tid
- til
- Trafik
- Tendenser
- to
- afdækket
- ukendt
- up-to-date
- uploadet
- opfordret til
- anvendte
- Bruger
- ved brug af
- Værdifuld
- Variant
- forskellige
- Ve
- leverandører
- udgave
- versioner
- Virtual
- vmware
- Sårbarheder
- var
- Hvad
- hvornår
- som
- mens
- WHO
- bredere
- vilje
- med
- uden
- værd
- ville
- X
- år
- år
- endnu
- zephyrnet
- nul