Ce qui semble être une nouvelle variante du ransomware Babuk est apparu pour attaquer les serveurs VMware ESXi dans plusieurs pays, y compris un coup confirmé sur IxMetro PowerHost, une société chilienne d'hébergement de centres de données. La variante s'appelle « SEXi », un jeu sur sa plate-forme cible de choix.
Selon le chercheur en cybersécurité de CronUp Allemand Fernandez, Ricardo Rubem, PDG de PowerHost, a publié une déclaration confirmant qu'une nouvelle variante de ransomware avait verrouillé les serveurs de l'entreprise en utilisant l'extension de fichier .SEXi, le vecteur d'accès initial au réseau interne étant encore inconnu. Les attaquants ont demandé une rançon de 140 millions de dollars, qui, selon Rubem, ne serait pas versée.
L'émergence de SEXi se situe au carrefour de deux tendances majeures en matière de ransomware : la vague d'acteurs menaçants qui ont développé un malware basé sur le code source de Babuk; et une soif de compromettre les serveurs VMware EXSi incroyablement juteux.
L'attaque IX PowerHost fait partie d'une campagne plus large de ransomware
Pendant ce temps, Will Thomas, chercheur CTI chez Equinix, a découvert ce qu'il pense être un binaire lié à celui utilisé dans l'attaque, baptisé « LIMPOPOx32.bin » et étiqueté comme une version Linux de Babuk dans VirusTotal. Au moment de mettre sous presse, ce malware a un taux de détection de 53 % sur VT, avec 34 fournisseurs de sécurité sur 64 le signalant comme malveillant depuis son premier téléchargement le 8 février. MalwareHunterTeam je l'ai repéré le jour de la Saint-Valentin, lorsqu'il était utilisé sans le pseudo « SEXi » lors d'une attaque contre une entité en Thaïlande.
Mais Thomas a découvert d’autres binaires apparentés. Comme il tweeté, « L'attaque du ransomware SEXi contre IXMETRO POWERHOST est liée à une campagne plus large qui a touché au moins trois pays d'Amérique latine. » Ceux-ci se font appeler Socotra (utilisé lors d'un attentat au Chili le 23 mars) ; Limpopo à nouveau (utilisé lors d'une attaque au Pérou le 9 février) ; et Formosa (utilisé lors d'une attaque au Mexique le 26 février). Fait préoccupant, au moment de mettre sous presse, les trois détections de zéro enregistrées dans VT.
Ensemble, les résultats présentent le développement d’une nouvelle campagne utilisant diverses itérations SEXi qui ramènent toutes à Babuk.
Des TTP obscurs émergent dans les attaques SEXi
Rien n’indique d’où proviennent les opérateurs de logiciels malveillants ni quelles sont leurs intentions. Mais petit à petit, un ensemble de tactiques, de techniques et de procédures émergent. D'une part, la nomenclature des binaires provient des noms de lieux. Le Limpopo est la province la plus septentrionale de l'Afrique du Sud ; Socotra est une île yéménite de l'océan Indien ; et Formose fut une république éphémère située à Taiwan à la fin des années 1800, après que la dynastie chinoise Qing eut cédé son règne sur l'île.
Et, comme MalwareHunterTeam l'a souligné sur X, « peut-être intéressant / mérite-t-il de mentionner à propos de ce ransomware 'SEXi' que la méthode de communication spécifiée par les acteurs dans la note est Session. Bien que nous ayons vu certains acteurs l'utiliser il y a déjà des années, je ne me souviens pas l'avoir vu en relation avec des cas/acteurs importants/sérieux.
Session est une application de messagerie instantanée multiplateforme cryptée de bout en bout qui met l'accent sur la confidentialité et l'anonymat des utilisateurs. La demande de rançon de l'attaque IX PowerHost a exhorté l'entreprise à télécharger l'application, puis à envoyer un message avec le code « SEXi » ; la note précédente de l'attaque thaïlandaise invitait au téléchargement de la session mais à inclure le code « Limpopo ».
EXSi est sexy pour les cyberattaquants
La plate-forme d'hyperviseur EXSi de VMware fonctionne sous Linux et des systèmes d'exploitation de type Linux et peut héberger plusieurs machines virtuelles (VM) riches en données. Cela a été un cible populaire pour les acteurs du ransomware depuis des années maintenant, en partie à cause de la taille de la surface d'attaque : selon une recherche Shodan, des dizaines de milliers de serveurs ESXi sont exposés à Internet, la plupart exécutant des versions plus anciennes. Et cela ne prend pas en compte ceux qui sont accessibles après une première violation d'accès à un réseau d'entreprise.
Contribuant également à L'intérêt croissant des gangs de ransomwares pour EXSi, la plateforme ne prend en charge aucun outil de sécurité tiers.
« Les appareils non gérés tels que les serveurs ESXi sont une cible idéale pour les auteurs de menaces de ransomware », selon un rapport de Prévoyeur sorti l'année dernière. « En raison des données précieuses stockées sur ces serveurs, un nombre croissant d'utilisateurs vulnérabilités exploitées les affectant, leur exposition fréquente à Internet et la difficulté de mettre en œuvre des mesures de sécurité, telles que la détection et la réponse des points finaux (EDR), sur ces appareils. ESXi est une cible à haut rendement pour les attaquants car il héberge plusieurs machines virtuelles, ce qui permet aux attaquants de déployer des logiciels malveillants une seule fois et de chiffrer de nombreux serveurs avec une seule commande.
VMware a un guide pour sécuriser EXSi environnements. Les suggestions spécifiques incluent : Assurez-vous que le logiciel ESXi est corrigé et à jour ; durcir les mots de passe ; supprimer des serveurs d'Internet ; surveiller les activités anormales sur le trafic réseau et sur les serveurs ESXi ; et assurez-vous qu'il existe des sauvegardes des machines virtuelles en dehors de l'environnement ESXi pour permettre la récupération.
- Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
- PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
- PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
- PlatonESG. Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
- PlatoHealth. Veille biotechnologique et essais cliniques. Accéder ici.
- La source: https://www.darkreading.com/threat-intelligence/sexi-ransomware-desires-vmware-hypervisors
- :possède
- :est
- :ne pas
- :où
- $UP
- 23
- 26%
- 7
- 8
- 9
- a
- anormal
- A Propos
- accès
- Selon
- Compte
- d'activités
- acteurs
- affectant
- Afrique
- Après
- encore
- depuis
- Tous
- Permettre
- déjà
- Américaine
- an
- ainsi que
- l'anonymat
- tous
- appli
- apparaît
- Application
- SONT
- AS
- At
- attaquer
- Attaques
- RETOUR
- sauvegardes
- basé
- BE
- car
- était
- va
- croit
- BIN
- violation
- plus large
- mais
- by
- Appelez-nous
- Appels
- Campagne
- CAN
- Canaux centraux
- CEO
- Chili
- Chine
- le choix
- code
- vient
- Communication
- Société
- compromettre
- confidentialité
- CONFIRMÉ
- contribuant
- Entreprises
- d'exportation
- Carrefour
- Cybersécurité
- données
- Centre de données
- journée
- déployer
- désirs
- Détection
- Développement
- Compatibles
- Difficulté
- découvert
- doesn
- Don
- download
- doublé
- Plus tôt
- émerger
- émergé
- émergence
- économies émergentes.
- mettant l'accent
- permettre
- crypter
- crypté
- end-to-end
- Endpoint
- assurer
- entité
- Environment
- environnements
- equinix
- Pourtant, la
- exposé
- Exposition
- extension
- Février
- Déposez votre dernière attestation
- résultats
- Prénom
- Pour
- Prévoyeur
- fréquent
- fraiche entreprise
- De
- plus
- Les gangs
- l'
- Croissance
- intérêt grandissant
- ait eu
- manipuler
- Vous avez
- he
- Frappé
- hôte
- hébergement
- hôtes
- HTML
- HTTPS
- i
- la mise en œuvre
- in
- comprendre
- Y compris
- Indian
- indiqué
- indication
- initiale
- instantané
- intentions
- intérêt
- intéressant
- interne
- Internet
- développement
- île
- Publié
- IT
- itérations
- SES
- lui-même
- jpg
- Nom de famille
- L'année dernière
- En retard
- Danses latines
- Amérique latine
- conduire
- au
- lié
- linux
- situé
- fermé
- Les machines
- majeur
- a prendre une
- malveillant
- malware
- Mars
- peut être
- les mesures
- mentionner
- message
- messagerie
- méthode
- Mexique
- million
- Surveiller
- (en fait, presque toutes)
- plusieurs
- noms
- réseau et
- trafic réseau
- Nouveauté
- aucune
- noter
- roman
- maintenant
- nombre
- nombreux
- océan
- of
- plus
- on
- une fois
- ONE
- opérateurs
- or
- OS
- Autre
- ande
- au contrôle
- plus de
- payé
- partie
- mots de passe
- Pérou
- Place
- plateforme
- Platon
- Intelligence des données Platon
- PlatonDonnées
- Jouez
- Press
- procédures
- Ransom
- ransomware
- Attaque de ransomware
- éruption
- récupération
- inscrit
- en relation
- rapport
- libéré
- rappeler
- supprimez
- rapport
- Centrafricaine
- chercheur
- réponse
- Règle
- pour le running
- fonctionne
- s
- Rechercher
- sécurisation
- sécurité
- Mesures de sécurité
- voir
- vu
- envoyer
- Serveurs
- Session
- set
- plusieurs
- vitrine
- depuis
- unique
- Taille
- Lentement
- Logiciels
- quelques
- Identifier
- Région Sud
- Afrique du Sud
- groupe de neurones
- spécifié
- peuplements
- Déclaration
- tel
- Support
- sûr
- Surface
- tactique
- Taïwan
- Prenez
- Target
- techniques
- dizaines
- thaïlandais
- Thaïlande
- qui
- La
- leur
- Les
- se
- puis
- Là.
- Ces
- des tiers.
- this
- thomas
- ceux
- milliers
- menace
- acteurs de la menace
- trois
- fiable
- à
- circulation
- Trends
- deux
- découvert
- inconnu
- mise à jour
- téléchargé
- exhorté
- d'utiliser
- Utilisateur
- en utilisant
- Précieux
- Variante
- divers
- Ve
- fournisseurs
- version
- versions
- Salle de conférence virtuelle
- vmware
- vulnérabilités
- était
- Quoi
- quand
- qui
- tout en
- WHO
- plus large
- sera
- comprenant
- sans
- vaut
- pourra
- X
- an
- années
- encore
- zéphyrnet
- zéro