See, mis näib olevat Babuki lunavara uus variant, on esile kerkinud, et rünnata VMware ESXi servereid mitmes riigis, sealhulgas kinnitatud tabamus Tšiili andmekeskuse hostimisettevõttes IxMetro PowerHost. Variant nimetab end "SEXi" - näidend oma valitud sihtplatvormil.
CronUpi küberturvalisuse uurija sõnul Germán Fernández, tegi PowerHosti tegevjuht Ricardo Rubem avalduse, milles kinnitas, et uus lunavaravariant on .SEXi faililaiendit kasutades lukustanud ettevõtte serverid, kusjuures esialgne juurdepääsuvektor sisevõrgule on veel teadmata. Ründajad nõudsid 140 miljonit dollarit lunaraha, mida Rubem teatas, et seda ei maksta.
SEXi esilekerkimine seisab kahe peamise lunavaratrendi ristumiskohas: ohus osalejate lööve, arendas Babuki lähtekoodil põhinevat pahavara; ja iha ahvatlevalt mahlaste VMware EXSi serverite kompromiteerimise järele.
IX PowerHosti rünnak osa laiemast lunavarakampaaniast
Samal ajal avastas Will Thomas, Equinixi CTI-teadur, rünnakus kasutatud binaarfaili, mis on tema arvates seotud rünnakus kasutatud binaarkoodiga, mille nimi on "LIMPOPOx32.bin" ja mis märgiti VirusTotalis Babuki Linuxi versiooniks. Pressi ajal, et pahavara tuvastamise määr on 53%. VT-s, kusjuures 34 turbemüüjat 64-st märkisid selle pahatahtlikuks alates selle esmakordsest üleslaadimisest 8. veebruaril. MalwareHunterTeam märkas seda tagasi valentinipäeval, kui seda kasutati ilma SEXi käepidemeta Tais asuva üksuse rünnakus.
Kuid Thomas avastas ka muid seotud binaarfaile. Nagu ta tweeted, "SEXi lunavararünnak IXMETRO POWERHOSTile on seotud laiema kampaaniaga, mis on tabanud vähemalt kolme Ladina-Ameerika riiki." Need kutsuvad end Socotraks (kasutati rünnakus Tšiilis 23. märtsil); Jälle Limpopo (kasutati rünnakus Peruus 9. veebruaril); ja Formosa (kasutati rünnakus Mehhikos 26. veebruaril). Mis puudutab, siis pressi ajal registreerisid kõik kolm VT-s nulli.
Üheskoos näitavad leiud uudse kampaania väljatöötamist, kasutades erinevaid SEXi iteratsioone, mis kõik viivad tagasi Babuki juurde.
SEXi rünnakutes ilmnevad varjulised TTP-d
Puuduvad viited selle kohta, kust pahavara operaatorid pärinevad või millised on nende kavatsused. Kuid aeglaselt on tekkimas taktikate, tehnikate ja protseduuride kogum. Esiteks pärineb kahendkoodide nomenklatuur kohanimedest. Limpopo on Lõuna-Aafrika põhjapoolseim provints; Sokotra on Jeemeni saar India ookeanis; ja Formosa oli lühiajaline vabariik, mis asus Taiwanil 1800. aastate lõpus, pärast seda, kui Hiina Qingi dünastia loovutas oma võimu saare üle.
Ja nagu MalwareHunterTeam X-is märkis, võib-olla on huvitav / väärib mainimist selle 'SEXi' lunavara puhul, et märkuses osalejate määratud suhtlusviis on Session. Kuigi me [oleme] näinud mõnda näitlejat seda isegi aastaid tagasi kasutamas, ei mäleta ma, et oleksin seda näinud seoses ühegi suure/tõsise juhtumi/näitlejaga.
Session on platvormideülene, otsast lõpuni krüpteeritud kiirsuhtlusrakendus, mis rõhutab kasutaja konfidentsiaalsust ja anonüümsust. IX PowerHosti rünnaku lunarahakiri kutsus ettevõtet üles laadima rakendus alla ja saatma seejärel sõnumi koodiga "SEXi"; Tai rünnaku varasem märkus kutsus üles seanssi alla laadima, kuid lisama koodi "Limpopo".
EXSI on küberründajate jaoks seksikas
VMware EXSi hüperviisori platvorm töötab Linuxis ja Linuxi-sarnases operatsioonisüsteemis ning suudab majutada mitut andmerikast virtuaalmasinat (VM). See on olnud a populaarne sihtmärk lunavaranäitlejate seas juba aastaid, osaliselt ründepinna suuruse tõttu: Shodani otsingu kohaselt on Internetiga kokku puutunud kümneid tuhandeid ESXi servereid, millest enamik töötab vanemate versioonidega. Ja see ei võta arvesse neid, mis on kättesaadavad pärast ettevõtte võrgu esialgset juurdepääsu rikkumist.
Samuti aitab kaasa lunavarajõugude kasvav huvi EXSi vastu, platvorm ei toeta ühtegi kolmanda osapoole turbetööriista.
"Haldamata seadmed, nagu ESXi serverid, on suureks sihtmärgiks lunavaraohtudele," öeldakse ettevõtte raportis. Forescout välja antud eelmisel aastal. "Selle põhjuseks on nende serverite väärtuslikud andmed, mida kasvab üha rohkem ära kasutatud haavatavused, mis neid mõjutavad, nende sagedane kokkupuude Internetiga ja nendes seadmetes turbemeetmete, näiteks lõpp-punkti tuvastamise ja reageerimise (EDR) rakendamise raskus. ESXi on ründajate jaoks suure tootlikkusega sihtmärk, kuna see majutab mitut VM-i, võimaldades ründajatel ühe käsuga pahavara juurutada ja arvukalt servereid krüpteerida.
VMware-l on a juhend EXSi kinnitamiseks keskkondades. Konkreetsed soovitused hõlmavad järgmist: Veenduge, et ESXi tarkvara on paigatud ja ajakohane; kõvastada paroole; serverite eemaldamine Internetist; jälgida ebatavalisi tegevusi võrguliikluses ja ESXi serverites; ja tagage, et VM-ide varukoopiad oleksid väljaspool ESXi keskkonda, et võimaldada taastamist.
- SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
- PlatoData.Network Vertikaalne generatiivne Ai. Jõustage ennast. Juurdepääs siia.
- PlatoAiStream. Web3 luure. Täiustatud teadmised. Juurdepääs siia.
- PlatoESG. Süsinik, CleanTech, Energia, Keskkond päikeseenergia, Jäätmekäitluse. Juurdepääs siia.
- PlatoTervis. Biotehnoloogia ja kliiniliste uuringute luureandmed. Juurdepääs siia.
- Allikas: https://www.darkreading.com/threat-intelligence/sexi-ransomware-desires-vmware-hypervisors
- :on
- :on
- :mitte
- : kus
- $ UP
- 23
- 26%
- 7
- 8
- 9
- a
- ebanormaalne
- MEIST
- juurdepääs
- Vastavalt
- konto
- tegevus
- osalejad
- mõjutades
- Aafrika
- pärast
- jälle
- tagasi
- Materjal: BPA ja flataatide vaba plastik
- Lubades
- juba
- ameerika
- an
- ja
- Anonüümsus
- mistahes
- app
- ilmub
- taotlus
- OLEME
- AS
- At
- rünnak
- Reageerib
- tagasi
- varukoopiaid
- põhineb
- BE
- sest
- olnud
- on
- usub,
- BIN
- rikkumine
- laiem
- kuid
- by
- helistama
- Kutsub
- Kampaania
- CAN
- keskus
- tegevjuht
- Tšiili
- Hiina
- valik
- kood
- tuleb
- KOMMUNIKATSIOON
- ettevõte
- kompromiteeriv
- konfidentsiaalsus
- KINNITATUD
- kaasa
- Korporatiivne
- riikides
- Risttee
- Küberturvalisus
- andmed
- Andmekeskus
- päev
- juurutada
- soove
- Detection
- & Tarkvaraarendus
- seadmed
- Raskus
- avastasin
- ei
- don
- lae alla
- dubleeritud
- Ajalugu
- tekkima
- tekkinud
- tekkimine
- smirgel
- rõhutades
- võimaldama
- krüptida
- krüpteeritud
- Lõpuks-lõpuni
- Lõpp-punkt
- tagama
- üksus
- keskkond
- keskkondades
- ekvinix
- Isegi
- avatud
- Säritus
- laiendamine
- veebruar
- fail
- järeldused
- esimene
- eest
- Forescout
- sage
- värske
- Alates
- edasi
- Gangid
- suur
- Kasvavad
- kasvav huvi
- olnud
- käepide
- Olema
- he
- Tulemus
- võõrustaja
- Hosting
- hosts
- HTML
- HTTPS
- i
- rakendamisel
- in
- sisaldama
- Kaasa arvatud
- india
- osutatud
- näidustus
- esialgne
- kiire
- kavatsused
- huvi
- huvitav
- sisemine
- Internet
- sisse
- saar
- Välja antud
- IT
- kordused
- ITS
- ise
- jpg
- viimane
- Eelmisel aastal
- Hilja
- ladina
- Ladina-Ameerika
- viima
- kõige vähem
- seotud
- Linux
- asub
- lukus
- masinad
- peamine
- tegema
- pahatahtlik
- malware
- Märts
- võib olla
- meetmed
- mainima
- sõnum
- Sõnumid
- meetod
- Mehhiko
- miljon
- Jälgida
- kõige
- mitmekordne
- nimed
- võrk
- võrguliiklus
- Uus
- ei
- meeles
- romaan
- nüüd
- number
- arvukad
- ookean
- of
- vanem
- on
- kunagi
- ONE
- ettevõtjad
- or
- OS
- Muu
- välja
- väljaspool
- üle
- makstud
- osa
- paroolid
- Peruu
- Koht
- inimesele
- Platon
- Platoni andmete intelligentsus
- PlatoData
- mängima
- vajutage
- menetlused
- Lunaraha
- ransomware
- Ransomware rünnak
- lööve
- taastumine
- registreeritud
- seotud
- seos
- vabastatud
- meeles pidama
- kõrvaldama
- aru
- Vabariik
- uurija
- vastus
- Eeskiri
- jooksmine
- jookseb
- s
- Otsing
- kindlustada
- turvalisus
- Turvameetmed
- nägemine
- nähtud
- saatma
- Serverid
- istung
- komplekt
- mitu
- presentatsioon
- alates
- ühekordne
- SUURUS
- Aeglaselt
- tarkvara
- mõned
- allikas
- Lõuna
- Lõuna-Aafrika
- konkreetse
- määratletud
- seisab
- väljavõte
- selline
- toetama
- kindel
- Pind
- taktika
- Taiwan
- Võtma
- sihtmärk
- tehnikat
- kümneid
- tai
- Tai
- et
- .
- oma
- Neile
- ennast
- SIIS
- Seal.
- Need
- kolmanda osapoole
- see
- Thomas
- need
- tuhandeid
- oht
- ohus osalejad
- kolm
- aeg
- et
- liiklus
- Trends
- kaks
- katteta
- tundmatu
- ajakohane
- laetud
- tungivalt
- Kasutatud
- Kasutaja
- kasutamine
- väärtuslik
- variant
- eri
- Ve
- müüjad
- versioon
- versioonid
- virtuaalne
- vmware
- Haavatavused
- oli
- M
- millal
- mis
- kuigi
- WHO
- laiem
- will
- koos
- ilma
- väärt
- oleks
- X
- aasta
- aastat
- veel
- sephyrnet
- null