Αυτό που φαίνεται να είναι μια νέα παραλλαγή του ransomware Babuk έχει εμφανιστεί για να επιτεθεί σε διακομιστές VMware ESXi σε πολλές χώρες, συμπεριλαμβανομένης μιας επιβεβαιωμένης επιτυχίας στο IxMetro PowerHost, μια εταιρεία φιλοξενίας κέντρων δεδομένων της Χιλής. Η παραλλαγή αυτοαποκαλείται «SEXi», ένα παιχνίδι στην πλατφόρμα-στόχο της επιλογής της.
Σύμφωνα με τον ερευνητή κυβερνοασφάλειας της CronUp Γερμανός Φερνάντες, ο Διευθύνων Σύμβουλος της PowerHost Ricardo Rubem εξέδωσε μια δήλωση επιβεβαιώνοντας ότι μια νέα παραλλαγή ransomware είχε κλειδώσει τους διακομιστές της εταιρείας χρησιμοποιώντας την επέκταση αρχείου .SEXi, με τον αρχικό φορέα πρόσβασης στο εσωτερικό δίκτυο να είναι ακόμη άγνωστος. Οι επιτιθέμενοι ζήτησαν λύτρα 140 εκατομμυρίων δολαρίων, τα οποία ο Ρούμπεμ είπε ότι δεν θα πληρωνόταν.
Η εμφάνιση του SEXi βρίσκεται στο σταυροδρόμι δύο μεγάλων τάσεων ransomware: το εξάνθημα των παραγόντων απειλών που έχουν ανέπτυξε κακόβουλο λογισμικό με βάση τον πηγαίο κώδικα Babuk; και μια λαχτάρα για συμβιβασμούς σε δελεαστικά ζουμερούς διακομιστές VMware EXSi.
IX PowerHost Attack μέρος μιας ευρύτερης καμπάνιας Ransomware
Εν τω μεταξύ, ο Will Thomas, ερευνητής CTI στο Equinix, αποκάλυψε αυτό που πιστεύει ότι είναι ένα δυαδικό αρχείο που σχετίζεται με αυτό που χρησιμοποιήθηκε στην επίθεση, το οποίο ονομάστηκε "LIMPOPOx32.bin" και επισημάνθηκε ως έκδοση Linux του Babuk στο VirusTotal. Την ώρα του τύπου, ότι το κακόβουλο λογισμικό έχει ποσοστό ανίχνευσης 53%. στο VT, με 34 από τους 64 προμηθευτές ασφαλείας να το επισημαίνουν ως κακόβουλο από τότε που ανέβηκε για πρώτη φορά στις 8 Φεβρουαρίου. MalwareHunterTeam το εντόπισε πίσω την Ημέρα του Αγίου Βαλεντίνου, όταν χρησιμοποιήθηκε χωρίς τη λαβή "SEXi" σε μια επίθεση σε μια οντότητα στην Ταϊλάνδη.
Αλλά ο Thomas ανακάλυψε περαιτέρω και άλλα, σχετικά δυαδικά αρχεία. Όπως αυτός tweeted, "Επίθεση ransomware SEXi στο IXMETRO POWERHOST συνδεδεμένη με ευρύτερη εκστρατεία που έχει χτυπήσει τουλάχιστον τρεις χώρες της Λατινικής Αμερικής." Αυτοί αυτοαποκαλούνται Socotra (χρησιμοποιήθηκε σε μια επίθεση στη Χιλή στις 23 Μαρτίου). Limpopo ξανά (χρησιμοποιήθηκε σε μια επίθεση στο Περού στις 9 Φεβρουαρίου). και Φορμόζα (χρησιμοποιήθηκε σε επίθεση στο Μεξικό στις 26 Φεβρουαρίου). Ανησυχία, την ώρα του τύπου και οι τρεις κατέγραψαν μηδενικές ανιχνεύσεις στο VT.
Μαζί, τα ευρήματα παρουσιάζουν την ανάπτυξη μιας νέας εκστρατείας που χρησιμοποιεί διάφορες επαναλήψεις SEXi που όλες οδηγούν πίσω στο Babuk.
Οι σκιώδεις TTP εμφανίζονται στις επιθέσεις SEXi
Δεν υπάρχει καμία ένδειξη από πού προέρχονται οι χειριστές κακόβουλου λογισμικού ή ποιες είναι οι προθέσεις τους. Αλλά σιγά σιγά αναδύονται ένα σύνολο τακτικών, τεχνικών και διαδικασιών. Για ένα, η ονοματολογία των δυαδικών προέρχεται από τοπωνύμια. Το Λιμπόπο είναι η βορειότερη επαρχία της Νότιας Αφρικής. Το Socotra είναι ένα νησί της Υεμένης στον Ινδικό Ωκεανό. και η Φορμόζα ήταν μια βραχύβια δημοκρατία που βρισκόταν στην Ταϊβάν στα τέλη του 1800, αφού η δυναστεία Qing της Κίνας παραχώρησε την κυριαρχία της στο νησί.
Και, όπως επεσήμανε το MalwareHunterTeam στο X, «ίσως ενδιαφέρον / αξίζει να αναφέρουμε για αυτό το ransomware «SEXi» ότι η μέθοδος επικοινωνίας που καθορίζεται από τους ηθοποιούς στη σημείωση είναι η Session. Ενώ [έχουμε] δει μερικούς ηθοποιούς να το χρησιμοποιούν πριν από χρόνια, δεν θυμάμαι να το έχω δει σε σχέση με μεγάλες/σοβαρές περιπτώσεις/ηθοποιούς.”
Το Session είναι μια εφαρμογή ανταλλαγής άμεσων μηνυμάτων κρυπτογραφημένη από άκρο σε άκρο που δίνει έμφαση στην εμπιστευτικότητα και την ανωνυμία των χρηστών. Το σημείωμα λύτρων στην επίθεση IX PowerHost παρότρυνε την εταιρεία να κατεβάσει την εφαρμογή και στη συνέχεια να στείλει ένα μήνυμα με τον κωδικό "SEXi". το προηγούμενο σημείωμα στην επίθεση στην Ταϊλάνδη προέτρεπε τη λήψη του Session αλλά να συμπεριλάβει τον κωδικό "Limpopo".
Το EXSi είναι σέξι για τους κυβερνοεπιτιθέμενους
Η πλατφόρμα hypervisor EXSi της VMware τρέχει σε Linux και λειτουργικά συστήματα παρόμοια με Linux και μπορεί να φιλοξενήσει πολλαπλές εικονικές μηχανές (VM) με πλούσια δεδομένα. Έχει γίνει ένα δημοφιλής στόχος για τους ηθοποιούς ransomware εδώ και χρόνια, εν μέρει λόγω του μεγέθους της επιφάνειας επίθεσης: Υπάρχουν δεκάδες χιλιάδες διακομιστές ESXi που εκτίθενται στο Διαδίκτυο, σύμφωνα με μια αναζήτηση Shodan, με τους περισσότερους από αυτούς να εκτελούν παλαιότερες εκδόσεις. Και αυτό δεν λαμβάνει υπόψη αυτά που είναι προσβάσιμα μετά από μια αρχική παραβίαση πρόσβασης σε ένα εταιρικό δίκτυο.
Συμβάλλοντας επίσης σε Το αυξανόμενο ενδιαφέρον των συμμοριών ransomware για το EXSi, η πλατφόρμα δεν υποστηρίζει εργαλεία ασφάλειας τρίτων.
«Οι μη διαχειριζόμενες συσκευές όπως οι διακομιστές ESXi αποτελούν εξαιρετικό στόχο για τους παράγοντες απειλών ransomware», σύμφωνα με μια αναφορά από Πρόβλεψη κυκλοφόρησε πέρυσι. «Αυτό οφείλεται στα πολύτιμα δεδομένα σε αυτούς τους διακομιστές, ένας αυξανόμενος αριθμός εκμεταλλεύονται τρωτά σημεία που τα επηρεάζουν, τη συχνή έκθεσή τους στο Διαδίκτυο και τη δυσκολία εφαρμογής μέτρων ασφαλείας, όπως ανίχνευση και απόκριση τελικού σημείου (EDR), σε αυτές τις συσκευές. Το ESXi είναι ένας στόχος υψηλής απόδοσης για επιτιθέμενους, καθώς φιλοξενεί πολλά VM, επιτρέποντας στους εισβολείς να αναπτύξουν κακόβουλο λογισμικό μία φορά και να κρυπτογραφήσουν πολλούς διακομιστές με μία μόνο εντολή».
Το VMware έχει ένα οδηγός για την ασφάλιση του EXSi περιβάλλοντα. Οι συγκεκριμένες προτάσεις περιλαμβάνουν: Βεβαιωθείτε ότι το λογισμικό ESXi είναι επιδιορθωμένο και ενημερωμένο. σκλήρυνση κωδικών πρόσβασης? αφαιρέστε διακομιστές από το Διαδίκτυο. παρακολούθηση για μη φυσιολογικές δραστηριότητες στην κυκλοφορία δικτύου και σε διακομιστές ESXi. και βεβαιωθείτε ότι υπάρχουν αντίγραφα ασφαλείας των VM εκτός του περιβάλλοντος ESXi για να ενεργοποιήσετε την ανάκτηση.
- SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
- PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
- PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
- PlatoESG. Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
- PlatoHealth. Ευφυΐα βιοτεχνολογίας και κλινικών δοκιμών. Πρόσβαση εδώ.
- πηγή: https://www.darkreading.com/threat-intelligence/sexi-ransomware-desires-vmware-hypervisors
- :έχει
- :είναι
- :δεν
- :που
- $UP
- 23
- 26%
- 7
- 8
- 9
- a
- ανώμαλος
- Σχετικα
- πρόσβαση
- Σύμφωνα με
- Λογαριασμός
- δραστηριοτήτων
- φορείς
- συγκινητικός
- Αφρική
- Μετά το
- πάλι
- πριν
- Όλα
- Επιτρέποντας
- ήδη
- Αμερικανικη
- an
- και
- ανωνυμία
- κάθε
- app
- εμφανίζεται
- Εφαρμογή
- ΕΙΝΑΙ
- AS
- At
- επίθεση
- Επιθέσεις
- πίσω
- αντιγράφων ασφαλείας
- βασίζονται
- BE
- επειδή
- ήταν
- είναι
- πιστεύει
- BIN
- παραβίαση
- ευρύτερη
- αλλά
- by
- κλήση
- κλήσεις
- Εκστρατεία
- CAN
- Κέντρο
- Διευθύνων Σύμβουλος
- χιλή
- Κίνα
- επιλογή
- κωδικός
- έρχεται
- Επικοινωνία
- εταίρα
- συμβιβασμός
- εμπιστευτικότητα
- ΕΠΙΒΕΒΑΙΩΜΕΝΟΣ
- συμβάλλοντας
- Εταιρικές εκδηλώσεις
- χώρες
- Σταυροδρόμι
- Κυβερνασφάλεια
- ημερομηνία
- Κέντρο δεδομένων
- ημέρα
- παρατάσσω
- επιθυμίες
- Ανίχνευση
- Ανάπτυξη
- Συσκευές
- Δυσκολία
- ανακάλυψαν
- doesn
- Don
- κατεβάσετε
- μεταγλωττισμένο
- Νωρίτερα
- αναδύονται
- προέκυψαν
- εμφάνιση
- σμυριδόπετρα
- δίνοντας έμφαση
- ενεργοποιήσετε
- κρυπτογράφηση
- κρυπτογραφημένα
- από άκρη σε άκρη
- Τελικό σημείο
- εξασφαλίζω
- οντότητα
- Περιβάλλον
- περιβάλλοντα
- ισημερία
- Even
- εκτεθειμένος
- Έκθεση
- επέκταση
- Φεβρουάριος
- Αρχεία
- ευρήματα
- Όνομα
- Για
- Πρόβλεψη
- συχνάζω
- φρέσκο
- από
- περαιτέρω
- Συμμορίες
- εξαιρετική
- Μεγαλώνοντας
- αυξανόμενο ενδιαφέρον
- είχε
- λαβή
- Έχω
- he
- Επιτυχία
- οικοδεσπότης
- φιλοξενία
- οικοδεσπότες
- HTML
- HTTPS
- i
- εκτελεστικών
- in
- περιλαμβάνουν
- Συμπεριλαμβανομένου
- Ινδός
- υποδεικνύεται
- ένδειξη
- αρχικός
- στιγμή
- προθέσεις
- τόκος
- ενδιαφέρον
- εσωτερικός
- Internet
- σε
- νησί
- Εκδόθηκε
- IT
- επαναλήψεις
- ΤΟΥ
- εαυτό
- jpg
- Επίθετο
- Πέρυσι
- Αργά
- Latin
- Λατινοαμερικανός
- οδηγήσει
- ελάχιστα
- συνδέονται
- linux
- που βρίσκεται
- κλειδωμένη
- μηχανήματα
- μεγάλες
- κάνω
- κακόβουλο
- malware
- Μάρτιος
- μπορεί
- μέτρα
- αναφέρω
- μήνυμα
- μηνυμάτων
- μέθοδος
- Μεξικό
- εκατομμύριο
- Παρακολούθηση
- πλέον
- πολλαπλούς
- ονόματα
- δίκτυο
- επισκεψιμότητα δικτύου
- Νέα
- Όχι.
- σημείωση
- μυθιστόρημα
- τώρα
- αριθμός
- πολυάριθμες
- ωκεανός
- of
- ηλικιωμένων
- on
- μια φορά
- ONE
- φορείς
- or
- OS
- ΑΛΛΑ
- έξω
- εκτός
- επί
- καταβλήθηκε
- μέρος
- Κωδικοί πρόσβασης
- Περού
- Μέρος
- πλατφόρμες
- Πλάτων
- Πληροφορία δεδομένων Plato
- Πλάτωνα δεδομένα
- Δοκιμάστε να παίξετε
- τύπος
- διαδικασίες
- Λύτρα
- ransomware
- Επίθεση Ransomware
- εξάνθημα
- ανάκτηση
- καταχωρηθεί
- σχετίζεται με
- σχέση
- κυκλοφόρησε
- θυμάμαι
- αφαιρέστε
- αναφέρουν
- Δημοκρατία
- ερευνητής
- απάντησης
- Άρθρο
- τρέξιμο
- τρέχει
- s
- Αναζήτηση
- ασφάλεια
- ασφάλεια
- Μέτρα ασφαλείας
- βλέποντας
- δει
- στείλετε
- Διακομιστές
- Συνεδρίαση
- σειρά
- διάφοροι
- βιτρίνα
- αφού
- ενιαίας
- Μέγεθος
- Αργά
- λογισμικό
- μερικοί
- Πηγή
- Νότος
- South Africa
- συγκεκριμένες
- καθορίζεται
- στέκεται
- Δήλωση
- τέτοιος
- υποστήριξη
- βέβαιος
- Επιφάνεια
- τακτική
- Ταϊβάν
- Πάρτε
- στόχος
- τεχνικές
- δεκάδες
- ταϊλανδικά
- Thailand
- ότι
- Η
- τους
- Τους
- τους
- τότε
- Εκεί.
- Αυτοί
- τρίτους
- αυτό
- Θωμάς
- εκείνοι
- χιλιάδες
- απειλή
- απειλή
- τρία
- ώρα
- προς την
- ΚΙΝΗΣΗ στους ΔΡΟΜΟΥΣ
- Τάσεις
- δύο
- ακάλυπτος
- άγνωστος
- up-to-ημερομηνία
- Φορτώθηκε
- προέτρεψε
- μεταχειρισμένος
- Χρήστες
- χρησιμοποιώντας
- Πολύτιμος
- Παραλλαγή
- διάφορα
- Ve
- πωλητές
- εκδοχή
- εκδόσεις
- Πραγματικός
- vmware
- Θέματα ευπάθειας
- ήταν
- Τι
- πότε
- Ποιό
- ενώ
- Ο ΟΠΟΊΟΣ
- ευρύτερο
- θα
- με
- χωρίς
- αξία
- θα
- X
- έτος
- χρόνια
- ακόμη
- zephyrnet
- μηδέν