Babuk ransomwaren uudelta versiolta näyttävä versio on ilmestynyt hyökkäämään VMware ESXi -palvelimia vastaan useissa maissa, mukaan lukien vahvistettu osuma chileläiseen datakeskuksen isännöintiyritykseen IxMetro PowerHost. Variantti kutsuu itseään "SEXi", näytelmä sen kohdealustalla.
CronUpin kyberturvallisuustutkijan mukaan Saksalainen Fernández, PowerHostin toimitusjohtaja Ricardo Rubem antoi lausunnon, jossa vahvistettiin, että uusi kiristysohjelmavariantti oli lukinnut yrityksen palvelimet käyttämällä .SEXi-tiedostopäätettä, ja alkuperäistä pääsyvektoria sisäiseen verkkoon ei vielä tiedetä. Hyökkääjät vaativat 140 miljoonan dollarin lunnaita, joita Rubem ilmoitti, ettei sitä maksettaisi.
SEXin ilmestyminen on kahden suuren kiristysohjelmatrendin risteyskohdassa: uhkaavien toimijoiden ihottuma. kehitti haittaohjelmia Babukin lähdekoodiin perustuen; ja halu tinkiä kiehtovan mehukkaista VMware EXSi -palvelimista.
IX PowerHost-hyökkäys osa laajempaa Ransomware-kampanjaa
Sillä välin Will Thomas, Equinixin CTI-tutkija, paljasti hyökkäyksessä käytettyyn binaariin, jonka hän uskoo olevan "LIMPOPOx32.bin" ja joka merkittiin Babukin Linux-versioksi VirusTotalissa. Lehdistöaikana, että haittaohjelmien havaitsemisprosentti on 53 % VT:ssä, ja 34 64 tietoturvatoimittajasta on ilmoittanut sen haitalliseksi sen jälkeen, kun se ladattiin ensimmäisen kerran 8. helmikuuta. MalwareHunterTeam huomasi sen takaisin ystävänpäivänä, kun sitä käytettiin ilman "SEXi"-kahvaa hyökkäyksessä thaimaalaista kokonaisuutta vastaan.
Mutta Thomas löysi edelleen muita, toisiinsa liittyviä binaareja. Kuten hän Tweeted, "SEXi-lunnasohjelmahyökkäys IXMETRO POWERHOSTiin liittyy laajempaan kampanjaan, joka on osunut ainakin kolmeen Latinalaisen Amerikan maahan." Nämä kutsuvat itseään Socotraksi (käytettiin hyökkäyksessä Chilessä 23. maaliskuuta); Limpopo uudelleen (käytetty hyökkäyksessä Perussa 9. helmikuuta); ja Formosa (käytettiin hyökkäyksessä Meksikossa 26. helmikuuta). Mitä tulee, painohetkellä kaikki kolme rekisteröivät nollahavaintoja VT:ssä.
Yhdessä havainnot esittelevät uudenlaisen kampanjan kehittämistä käyttämällä erilaisia SEXi-iteraatioita, jotka kaikki johtavat takaisin Babukiin.
Shadowy TTP:t nousevat esiin SEXi Attacksissa
Ei ole viitteitä siitä, mistä haittaohjelmaoperaattorit ovat peräisin tai mitkä ovat heidän aikeensa. Mutta hitaasti joukko taktiikoita, tekniikoita ja menettelytapoja on syntymässä. Ensinnäkin binäärinimikkeistö tulee paikannimistä. Limpopo on Etelä-Afrikan pohjoisin maakunta; Socotra on Jemenin saari Intian valtamerellä; ja Formosa oli lyhytaikainen tasavalta, joka sijaitsi Taiwanissa 1800-luvun lopulla, kun Kiinan Qing-dynastia luovutti saaren hallintansa.
Ja kuten MalwareHunterTeam huomautti X:ssä, "ehkä mielenkiintoista / mainitsemisen arvoista tästä "SEXi"-lunnasohjelmasta, että muistiinpanon toimijoiden ilmoittama viestintätapa on Session. Vaikka olemme nähneet joidenkin näyttelijöiden käyttävän sitä jo vuosia sitten, en [muista] nähneeni sitä isojen/vakavien tapausten/näyttelijöiden yhteydessä.”
Session on monialustainen, päästä päähän salattu pikaviestisovellus, joka korostaa käyttäjien luottamuksellisuutta ja nimettömyyttä. IX PowerHost -hyökkäyksen lunnaat kehotti yritystä lataamaan sovelluksen ja lähettämään sitten viestin koodilla "SEXi"; Thaimaan hyökkäyksen aikaisempi huomautus kehotti lataamaan istunnon, mutta sisällyttämään siihen koodin "Limpopo".
EXSI on seksikäs kyberhyökkääjille
VMwaren EXSi-hypervisor-alusta toimii Linuxissa ja Linuxin kaltaisissa käyttöjärjestelmissä, ja se voi isännöidä useita datarikkaita virtuaalikoneita (VM). Se on ollut a suosittu kohde kiristyshaittaohjelmien toimijoiden keskuudessa jo vuosia, osittain hyökkäyspinnan koon vuoksi: Shodanin haun mukaan Internetissä on kymmeniä tuhansia ESXi-palvelimia, joista useimmat käyttävät vanhempia versioita. Eikä siinä oteta huomioon niitä, jotka ovat tavoitettavissa yritysverkon ensimmäisen käyttörikkomuksen jälkeen.
Myös myötävaikuttaa ransomware-jengien kasvava kiinnostus EXSiä kohtaan, alusta ei tue mitään kolmannen osapuolen tietoturvatyökaluja.
"Hallitsemattomat laitteet, kuten ESXi-palvelimet, ovat loistava kohde kiristyshaittaohjelmien uhkien toimijoille", raportin mukaan. Ennakoiva julkaistiin viime vuonna. "Se johtuu näiden palvelimien arvokkaasta tiedosta, kasvava määrä heihin vaikuttavia haavoittuvuuksia, niiden toistuva altistuminen Internetissä ja vaikeus toteuttaa suojatoimenpiteitä, kuten päätepisteiden havaitsemista ja vastausta (EDR), näissä laitteissa. ESXi on hyvä kohde hyökkääjille, koska se isännöi useita virtuaalikoneita, jolloin hyökkääjät voivat ottaa käyttöön haittaohjelmia kerran ja salata useita palvelimia yhdellä komennolla.
VMwaressa on opas EXSI:n kiinnittämiseen ympäristöissä. Erityisiä ehdotuksia ovat: Varmista, että ESXi-ohjelmisto on korjattu ja ajan tasalla; kovettaa salasanat; poista palvelimia Internetistä; tarkkaile epänormaalia toimintaa verkkoliikenteessä ja ESXi-palvelimissa; ja varmista, että virtuaalikoneista on varmuuskopiot ESXi-ympäristön ulkopuolella palautuksen mahdollistamiseksi.
- SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
- PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
- PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
- PlatoESG. hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
- PlatonHealth. Biotekniikan ja kliinisten kokeiden älykkyys. Pääsy tästä.
- Lähde: https://www.darkreading.com/threat-intelligence/sexi-ransomware-desires-vmware-hypervisors
- :on
- :On
- :ei
- :missä
- $ YLÖS
- 23
- 26%
- 7
- 8
- 9
- a
- poikkeava
- Meistä
- pääsy
- Mukaan
- Tili
- toiminta
- toimijoiden
- vaikuttavat
- Afrikka
- Jälkeen
- uudelleen
- sitten
- Kaikki
- Salliminen
- jo
- Amerikkalainen
- an
- ja
- nimettömyys
- Kaikki
- sovelluksen
- näyttää
- Hakemus
- OVAT
- AS
- At
- hyökkäys
- Hyökkäykset
- takaisin
- varmuuskopiot
- perustua
- BE
- koska
- ollut
- ovat
- uskoo
- BIN
- rikkominen
- laajempaa
- mutta
- by
- soittaa
- Puhelut
- Kampanja
- CAN
- keskus
- toimitusjohtaja
- Chile
- Kiina
- valinta
- koodi
- tulee
- Viestintä
- yritys
- vaarantamatta
- luottamuksellisuus
- CONFIRMED
- edistää
- Yrityksen
- maahan
- Risteys
- tietoverkkojen
- tiedot
- Data Center
- päivä
- sijoittaa
- halut
- Detection
- Kehitys
- Laitteet
- vaikeus
- löysi
- doesnt
- Don
- download
- dubattuna
- Aikaisemmin
- ilmaantua
- syntyi
- syntyminen
- syntymässä
- korostaen
- mahdollistaa
- Salaa
- salattu
- päittäin
- päätepiste
- varmistaa
- kokonaisuus
- ympäristö
- ympäristöissä
- Equinix
- Jopa
- avoin
- Valotus
- laajentaminen
- helmikuu
- filee
- tulokset
- Etunimi
- varten
- Ennakoiva
- tiheä
- tuore
- alkaen
- edelleen
- Gangs
- suuri
- Kasvava
- kasvava kiinnostus
- HAD
- kahva
- Olla
- he
- Osuma
- isäntä
- hotellit
- isännät
- HTML
- HTTPS
- i
- täytäntöönpanosta
- in
- sisältää
- Mukaan lukien
- intialainen
- ilmoitettu
- osoitus
- ensimmäinen
- välitön
- aikomukset
- korko
- mielenkiintoinen
- sisäinen
- Internet
- tulee
- saari
- Annettu
- IT
- toistojen
- SEN
- itse
- jpg
- Sukunimi
- Viime vuonna
- Myöhään
- latinalainen
- Latinalaisen Amerikan
- johtaa
- vähiten
- liittyvät
- linux
- sijaitsevat
- lukittu
- Koneet
- merkittävä
- tehdä
- ilkeä
- haittaohjelmat
- maaliskuu
- ehkä
- toimenpiteet
- mainita
- viesti
- Viestit
- menetelmä
- Meksiko
- miljoona
- monitori
- eniten
- moninkertainen
- nimet
- verkko
- verkkoliikenne
- Uusi
- Nro
- huomata
- romaani
- nyt
- numero
- useat
- valtameri
- of
- vanhempi
- on
- kerran
- ONE
- operaattorit
- or
- OS
- Muut
- ulos
- ulkopuolella
- yli
- maksettu
- osa
- salasanat
- Peru
- Paikka
- foorumi
- Platon
- Platonin tietotieto
- PlatonData
- Pelaa
- painaa
- menettelyt
- Lunnaat
- ransomware
- Ransomware -hyökkäys
- ihottuma
- elpyminen
- kirjattu
- liittyvä
- suhde
- julkaistu
- muistaa
- poistaa
- raportti
- Tasavalta
- tutkija
- vastaus
- Sääntö
- juoksu
- toimii
- s
- Haku
- turvaaminen
- turvallisuus
- Turvatoimet
- koska
- nähneet
- lähettää
- servers
- Istunto
- setti
- useat
- näyteikkuna
- koska
- single
- Koko
- Hitaasti
- Tuotteemme
- jonkin verran
- lähde
- Etelä
- Etelä-Afrikka
- erityinen
- määritelty
- seisoo
- Lausunto
- niin
- tuki
- varma
- pinta
- taktiikka
- Taiwan
- ottaa
- Kohde
- tekniikat
- kymmeniä
- thaimaalainen
- Thaimaa
- että
- -
- heidän
- Niitä
- itse
- sitten
- Siellä.
- Nämä
- kolmannen osapuolen
- tätä
- Thomas
- ne
- tuhansia
- uhkaus
- uhka toimijat
- kolmella
- aika
- että
- liikenne
- Trendit
- kaksi
- kattamaton
- tuntematon
- ajanmukainen
- ladattu
- kehotti
- käytetty
- käyttäjä
- käyttämällä
- arvokas
- variantti
- eri
- Ve
- myyjät
- versio
- versiot
- Virtual
- vMware
- haavoittuvuuksia
- oli
- Mitä
- kun
- joka
- vaikka
- KUKA
- laajempi
- tulee
- with
- ilman
- arvoinen
- olisi
- X
- vuosi
- vuotta
- vielä
- zephyrnet
- nolla-