מה שנראה כגרסה חדשה של תוכנת הכופר של Babuk הופיע לתקוף שרתי VMware ESXi במספר מדינות, כולל פגיעה מאושרת ב-IxMetro PowerHost, חברת אירוח מרכזי נתונים צ'יליאנית. הגרסה מכנה את עצמה "SEXi", משחק בפלטפורמת היעד המועדפת עליה.
לפי חוקר אבטחת סייבר של CronUp גרמן פרננדס, מנכ"ל PowerHost, Ricardo Rubem, פרסם הצהרה המאשרת כי גרסה חדשה של תוכנת כופר נעלה את שרתי החברה באמצעות סיומת הקובץ .SEXi, כאשר וקטור הגישה הראשוני לרשת הפנימית עדיין לא ידוע. התוקפים ביקשו כופר של 140 מיליון דולר, אשר רובם ציין שלא ישולם.
הופעתה של SEXi עומדת בצומת הדרכים של שתי מגמות עיקריות של תוכנות כופר: הפריחה של שחקני איום שיש להם פיתח תוכנה זדונית המבוססת על קוד המקור של Babuk; ותאווה להתפשר על שרתי VMware EXSi עסיסיים בצורה מגרה.
IX PowerHost Attack חלק ממסע פרסום רחב יותר של תוכנות כופר
בינתיים, וויל תומאס, חוקר CTI ב-Equinix, חשף את מה שלדעתו הוא בינארי הקשור לזה ששימש בהתקפה, שכונה "LIMPOPOx32.bin" ותויג כגרסת לינוקס של Babuk ב-VirusTotal. בזמן העיתונות, שלתוכנה זדונית יש שיעור זיהוי של 53%. ב-VT, כאשר 34 מתוך 64 ספקי אבטחה מסמנים אותו כזדוני מאז שהועלה לראשונה ב-8 בפברואר. MalwareHunterTeam הבחין בו עוד ביום האהבה, כאשר נעשה בו שימוש ללא ידית "SEXi" בהתקפה על ישות בתאילנד.
אבל תומס גילה עוד בינאריים קשורים אחרים. כמו שהוא צייץ, "התקפת תוכנת כופר SEXi על IXMETRO POWERHOST מקושרת לקמפיין רחב יותר שפגע לפחות בשלוש מדינות באמריקה הלטינית." אלה קוראים לעצמם Socotra (בשימוש בהתקפה בצ'ילה ב-23 במרץ); Limpopo שוב (בשימוש בהתקפה בפרו ב-9 בפברואר); ופורמוסה (בשימוש בהתקפה במקסיקו ב-26 בפברואר). לעניין, בזמן הלחיצה כל שלושת גילויי האפס נרשמו ב-VT.
יחד, הממצאים מציגים את הפיתוח של מסע פרסום חדשני באמצעות איטרציות SEXi שונות, שכולן מובילות חזרה ל-Babuk.
TTPs צללים מופיעים בהתקפות SEXi
אין אינדיקציה מהיכן מקורם של מפעילי התוכנה הזדונית או מה הכוונות שלהם. אבל לאט לאט מתעוררת מערכת של טקטיקות, טכניקות ונהלים. ראשית, המינוח הבינארי מגיע משמות מקומות. לימפופו הוא המחוז הצפוני ביותר של דרום אפריקה; סוקוטרה הוא אי תימני באוקיינוס ההודי; ופורמוסה הייתה רפובליקה קצרת מועד השוכנת בטייוואן בסוף המאה ה-1800, לאחר ששושלת צ'ינג של סין ויתרה על שלטונה על האי.
וכפי ש-MalwareHunterTeam ציין ב-X, "אולי מעניין/שווה להזכיר לגבי תוכנת הכופר 'SEXi' הזו ששיטת התקשורת שצוינה על ידי השחקנים בהערה היא Session. אמנם ראינו כמה שחקנים שמשתמשים בזה אפילו לפני שנים, אבל אני [לא] זוכר שראיתי את זה ביחס למקרים/שחקנים גדולים/רציניים".
Session היא אפליקציית הודעות מיידיות מוצפנות חוצת פלטפורמות מקצה לקצה, המדגישה את סודיות המשתמש ואנונימיות. פתק הכופר במתקפת IX PowerHost דחק בחברה להוריד את האפליקציה ולאחר מכן לשלוח הודעה עם הקוד "SEXi"; ההערה המוקדמת במתקפה התאילנדית דחקה בהורדת ה-Session אך לכלול את הקוד "Limpopo".
EXSi סקסית לתוקפי סייבר
פלטפורמת ההיפרוויזר EXSi של VMware פועלת על מערכת הפעלה כמו לינוקס ולינוקס, ויכולה לארח מספר מכונות וירטואליות עשירות בנתונים (VMs). זה היה א יעד פופולרי עבור שחקני תוכנת כופר כבר שנים, בין השאר בגלל גודל משטח ההתקפה: ישנם עשרות אלפי שרתי ESXi חשופים לאינטרנט, לפי חיפוש של Shodan, כאשר רובם מריצים גרסאות ישנות יותר. וזה לא לוקח בחשבון את אלה שניתן להגיע אליהם לאחר הפרת גישה ראשונית של רשת ארגונית.
גם תורם ל העניין הגובר של כנופיות תוכנות כופר ב-EXSi, הפלטפורמה אינה תומכת בכלי אבטחה של צד שלישי.
"מכשירים לא מנוהלים כמו שרתי ESXi הם מטרה מצוינת עבור שחקני איומי כופר", על פי דיווח מאת פורסקוט שוחרר בשנה שעברה. "זה בגלל הנתונים יקרי הערך בשרתים האלה, מספר הולך וגדל של ניצול פגיעות המשפיעות עליהם, החשיפה התכופה שלהם לאינטרנט והקושי ביישום אמצעי אבטחה, כגון זיהוי ותגובה של נקודות קצה (EDR), במכשירים אלו. ESXi הוא יעד בעל תשואה גבוהה לתוקפים מכיוון שהוא מארח מספר VMs, המאפשר לתוקפים לפרוס תוכנות זדוניות פעם אחת ולהצפין שרתים רבים בפקודה אחת."
ל-VMware יש א מדריך לאבטחת EXSi סביבות. הצעות ספציפיות כוללות: ודא שתוכנת ESXi מתוקנת ומעודכנת; להקשיח סיסמאות; הסרת שרתים מהאינטרנט; מעקב אחר פעילויות חריגות בתעבורת רשת ובשרתי ESXi; ולוודא שיש גיבויים של ה-VMs מחוץ לסביבת ESXi כדי לאפשר שחזור.
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
- PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
- PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
- PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
- מקור: https://www.darkreading.com/threat-intelligence/sexi-ransomware-desires-vmware-hypervisors
- :יש ל
- :הוא
- :לֹא
- :איפה
- $ למעלה
- 23
- 26%
- 7
- 8
- 9
- a
- לֹא נוֹרמָלִי
- אודות
- גישה
- פי
- חֶשְׁבּוֹן
- פעילויות
- שחקנים
- משפיע
- אפריקה
- לאחר
- שוב
- לִפנֵי
- תעשיות
- מאפשר
- כְּבָר
- אֲמֶרִיקָאִי
- an
- ו
- אנונימיות
- כל
- האפליקציה
- מופיע
- בקשה
- ARE
- AS
- At
- לתקוף
- המתקפות
- בחזרה
- גיבויים
- מבוסס
- BE
- כי
- היה
- להיות
- מאמין
- BIN
- הפרה
- רחב
- אבל
- by
- שיחה
- שיחות
- מבצע
- CAN
- מרכז
- מנכ"ל
- צ'ילה
- סין
- בחירה
- קוד
- מגיע
- תקשורת
- חברה
- מתפשר
- סודיות
- מְאוּשָׁר
- תורם
- משותף
- מדינות
- פרשת דרכים
- אבטחת סייבר
- נתונים
- מרכז נתונים
- יְוֹם
- לפרוס
- רצונות
- איתור
- צעצועי התפתחות
- התקנים
- קושי
- גילה
- לא איכפת
- דון
- להורדה
- דיבוב
- מוקדם יותר
- לצאת
- יצא
- הִתהַוּוּת
- מתעורר
- הדגשת
- לאפשר
- להצפין
- מוצפן
- מקצה לקצה
- נקודת קצה
- לְהַבטִיחַ
- ישות
- סביבה
- סביבות
- Equinix
- אֲפִילוּ
- חשוף
- חשיפה
- הארכה
- פבואר
- שלח
- ממצאים
- ראשון
- בעד
- פורסקוט
- תכוף
- טרי
- החל מ-
- נוסף
- כנופיות
- גדול
- גדל
- עניין הולך וגובר
- היה
- לטפל
- יש
- he
- מכה
- המארח
- אירוח
- מארחים
- HTML
- HTTPS
- i
- יישום
- in
- לכלול
- כולל
- הוֹדִי
- הצביע
- סִימָן
- בתחילה
- מיידי
- כוונות
- אינטרס
- מעניין
- פנימי
- אינטרנט
- אל תוך
- אי
- הפיקו
- IT
- איטרציות
- שֶׁלָה
- עצמו
- jpg
- אחרון
- שנה שעברה
- מְאוּחָר
- הלטינית
- אמריקה הלטינית
- עוֹפֶרֶת
- הכי פחות
- צמוד
- לינוקס
- ממוקם
- נעול
- מכונה
- גדול
- לעשות
- זדוני
- תוכנות זדוניות
- צעדה
- אולי
- אמצעים
- להזכיר
- הודעה
- הודעות
- שיטה
- MEXICO
- מִילִיוֹן
- צג
- רוב
- מספר
- שמות
- רשת
- תנועת רשת
- חדש
- לא
- הערות
- רומן
- עַכשָׁיו
- מספר
- רב
- ים
- of
- מבוגר
- on
- פעם
- ONE
- מפעילי
- or
- OS
- אחר
- הַחוּצָה
- בחוץ
- יותר
- נפרע
- חלק
- סיסמאות
- פרו
- מקום
- פלטפורמה
- אפלטון
- מודיעין אפלטון
- אפלטון נתונים
- לְשַׂחֵק
- ללחוץ
- נהלים
- כופר
- ransomware
- התקפת כופר
- פריחה
- התאוששות
- רשום
- קָשׁוּר
- יחס
- שוחרר
- לזכור
- להסיר
- לדווח
- רפובליקה
- חוקר
- תגובה
- כלל
- ריצה
- פועל
- s
- חיפוש
- אַבטָחָה
- אבטחה
- אמצעי אבטחה
- ראות
- לראות
- לשלוח
- שרתים
- מושב
- סט
- כמה
- ראווה
- since
- יחיד
- מידה
- לאט
- תוכנה
- כמה
- מָקוֹר
- דרום
- דרום אפריקה
- ספציפי
- מפורט
- עומד
- הצהרה
- כזה
- תמיכה
- בטוח
- משטח
- טקטיקה
- טייוואן
- לקחת
- יעד
- טכניקות
- עשרות
- תאילנדי
- תאילנד
- זֶה
- השמיים
- שֶׁלָהֶם
- אותם
- עצמם
- אז
- שם.
- אלה
- צד שלישי
- זֶה
- תומאס
- אלה
- אלפים
- איום
- איום שחקנים
- שְׁלוֹשָׁה
- זמן
- ל
- תְנוּעָה
- מגמות
- שתיים
- חָשׂוּף
- לא ידוע
- עדכן
- נטען
- דחק
- מְשׁוּמָשׁ
- משתמש
- באמצעות
- בעל ערך
- גִרְסָה אַחֶרֶת
- שונים
- Ve
- ספקים
- גרסה
- גירסאות
- וירטואלי
- VMware
- פגיעויות
- היה
- מה
- מתי
- אשר
- בזמן
- מי
- רחב יותר
- יצטרך
- עם
- לְלֹא
- ראוי
- היה
- X
- שנה
- שנים
- עוד
- זפירנט
- אפס