Wat een nieuwe variant van de Babuk-ransomware lijkt te zijn, is opgedoken om VMware ESXi-servers in verschillende landen aan te vallen, waaronder een bevestigde hit op IxMetro PowerHost, een Chileens datacenterhostingbedrijf. De variant noemt zichzelf โSEXiโ, een spel op het doelplatform van zijn keuze.
Volgens CronUp cybersecurity-onderzoeker Duitse Fernandez, heeft Ricardo Rubem, CEO van PowerHost, een verklaring afgegeven waarin hij bevestigde dat een nieuwe ransomwarevariant de servers van het bedrijf had vergrendeld met behulp van de bestandsextensie .SEXi, waarbij de initiรซle toegangsvector tot het interne netwerk nog onbekend was. De aanvallers vroegen 140 miljoen dollar aan losgeld, waarvan Rubem aangaf dat het niet zou worden betaald.
De opkomst van SEXi staat op het kruispunt van twee grote trends op het gebied van ransomware: de overdaad aan bedreigingsactoren die dat wel doen malware ontwikkeld op basis van de Babuk-broncode; en een verlangen om verleidelijk sappige VMware EXSi-servers in gevaar te brengen.
IX PowerHost-aanval Onderdeel van een bredere ransomware-campagne
Ondertussen ontdekte Will Thomas, CTI-onderzoeker bij Equinix, wat volgens hem een โโbinair bestand is dat verband houdt met het binaire bestand dat bij de aanval werd gebruikt, genaamd "LIMPOPOx32.bin" en getagd als een Linux-versie van Babuk in VirusTotal. Op het moment van drukken, dat malware een detectiepercentage van 53% heeft op VT, waarbij 34 van de 64 beveiligingsleveranciers het als schadelijk bestempelden sinds het voor het eerst werd geรผpload op 8 februari. MalwareHunterTeam zag het terug op Valentijnsdag, toen het werd gebruikt zonder de โSEXiโ-handgreep bij een aanval op een entiteit in Thailand.
Maar Thomas ontdekte verder andere, verwante binaire bestanden. Zoals hij tweeted, โSEXi ransomware-aanval op IXMETRO POWERHOST gekoppeld aan een bredere campagne die minstens drie Latijns-Amerikaanse landen heeft getroffen.โ Deze noemen zichzelf Socotra (gebruikt bij een aanval in Chili op 23 maart); Opnieuw Limpopo (gebruikt bij een aanval in Peru op 9 februari); en Formosa (gebruikt bij een aanval in Mexico op 26 februari). Verontrustend is dat op het moment van schrijven alle drie nuldetecties in VT registreerden.
Samen laten de bevindingen de ontwikkeling zien van een nieuwe campagne met behulp van verschillende SEXi-iteraties die allemaal terugleiden naar Babuk.
Schimmige TTPโs komen naar voren in SEXi-aanvallen
Er is geen indicatie waar de malware-exploitanten vandaan komen of wat hun bedoelingen zijn. Maar langzaamaan ontstaat er een reeks tactieken, technieken en procedures. Ten eerste is de nomenclatuur van de binaire bestanden afkomstig van plaatsnamen. Limpopo is de meest noordelijke provincie van Zuid-Afrika; Socotra is een Jemenitisch eiland in de Indische Oceaan; en Formosa was een kortstondige republiek die zich eind 1800e eeuw op Taiwan bevond, nadat de Chinese Qing-dynastie zijn heerschappij over het eiland had afgestaan.
En, zoals MalwareHunterTeam op X opmerkte: โMisschien interessant / de moeite waard om te vermelden over deze 'SEXi'-ransomware dat de communicatiemethode die door de acteurs in de notitie wordt gespecificeerd Session is. Hoewel we sommige acteurs het al jaren geleden hebben zien gebruiken, kan ik me niet herinneren dat ik het heb gezien in verband met grote/ernstige zaken/acteurs.
Session is een platformonafhankelijke, end-to-end gecodeerde instant messaging-applicatie die de nadruk legt op de vertrouwelijkheid en anonimiteit van gebruikers. De losgeldbrief in de IX PowerHost-aanval spoorde het bedrijf aan om de app te downloaden en vervolgens een bericht te sturen met de code โSEXiโ; in de eerdere notitie in de Thaise aanval werd aangedrongen op het downloaden van de sessie, maar met de code โLimpopoโ.
EXSi is sexy voor cyberaanvallers
Het EXSi-hypervisorplatform van VMware draait op Linux en Linux-achtige besturingssystemen en kan meerdere, datarijke virtuele machines (VM's) hosten. Het is een populair doelwit voor ransomware-actoren al jaren, deels vanwege de omvang van het aanvalsoppervlak: volgens een Shodan-zoekopdracht zijn er tienduizenden ESXi-servers blootgesteld aan het internet, waarvan de meeste oudere versies draaien. En dan houden we geen rekening met degenen die bereikbaar zijn na een initiรซle inbreuk op de toegang tot een bedrijfsnetwerk.
Draagt โโook bij aan groeiende interesse van ransomwarebendes in EXSi, ondersteunt het platform geen beveiligingstools van derden.
โOnbeheerde apparaten zoals ESXi-servers zijn een geweldig doelwit voor ransomware-bedreigingsactorenโ, aldus een rapport van voorscout vorig jaar uitgebracht. โDat komt door de waardevolle data op deze servers, waarvan er steeds meer zijn misbruik gemaakt van de kwetsbaarheden die hen aantasten, hun frequente blootstelling aan internet en de moeilijkheid om beveiligingsmaatregelen, zoals eindpuntdetectie en respons (EDR), op deze apparaten te implementeren. ESXi is een doelwit met een hoog rendement voor aanvallers, omdat het meerdere VMโs host, waardoor aanvallers malware รฉรฉn keer kunnen inzetten en meerdere servers kunnen versleutelen met รฉรฉn enkele opdracht.โ
VMware heeft een handleiding voor het bevestigen van EXSi omgevingen. Specifieke suggesties zijn onder meer: โโZorg ervoor dat de ESXi-software gepatcht en up-to-date is; wachtwoorden verharden; verwijder servers van internet; monitoren op abnormale activiteiten in het netwerkverkeer en op ESXi-servers; en zorg ervoor dat er back-ups zijn van de VM's buiten de ESXi-omgeving om herstel mogelijk te maken.
- Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
- PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
- PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
- PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
- Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
- Bron: https://www.darkreading.com/threat-intelligence/sexi-ransomware-desires-vmware-hypervisors
- : heeft
- :is
- :niet
- :waar
- $UP
- 23
- 26%
- 7
- 8
- 9
- a
- abnormaal
- Over
- toegang
- Volgens
- Account
- activiteiten
- actoren
- die van invloed
- Afrika
- Na
- weer
- geleden
- Alles
- Het toestaan
- al
- Amerikaans
- an
- en
- anonimiteit
- elke
- gebruiken
- komt naar voren
- Aanvraag
- ZIJN
- AS
- At
- aanvallen
- Aanvallen
- terug
- backups
- gebaseerde
- BE
- omdat
- geweest
- wezen
- gelooft
- BIN
- overtreding
- bredere
- maar
- by
- Bellen
- oproepen
- Campagne
- CAN
- Centreren
- ceo
- Chili
- China
- keuze
- code
- komt
- Communicatie
- afstand
- afbreuk te doen aan
- vertrouwelijkheid
- BEVESTIGD
- bij te dragen
- Bedrijfs-
- landen
- Kruising
- Cybersecurity
- gegevens
- Data Center
- dag
- implementeren
- verlangens
- Opsporing
- Ontwikkeling
- systemen
- Moeilijkheid
- ontdekt
- doesn
- don
- Download
- nagesynchroniseerde
- Vroeger
- te voorschijn komen
- voortgekomen
- opkomst
- opkomende
- nadruk te leggen op
- in staat stellen
- encrypt
- versleutelde
- eind tot eind
- Endpoint
- verzekeren
- entiteit
- Milieu
- omgevingen
- Equinix
- Zelfs
- blootgestelde
- Media
- uitbreiding
- Feb
- Dien in
- bevindingen
- Voornaam*
- Voor
- voorscout
- veelvuldig
- vers
- oppompen van
- verder
- gangs
- groot
- Groeiend
- groeiende interesse
- HAD
- handvat
- Hebben
- he
- Hit
- gastheer
- Hosting
- hosts
- HTML
- HTTPS
- i
- uitvoering
- in
- omvatten
- Inclusief
- Indian
- aangegeven
- aanwijzing
- eerste
- moment
- intenties
- belang
- interessant
- intern
- Internet
- in
- eiland
- Uitgegeven
- IT
- iteraties
- HAAR
- zelf
- jpg
- Achternaam*
- Afgelopen jaar
- Laat
- Latijns
- Latijns-Amerikaans
- leiden
- minst
- gekoppeld
- linux
- gelegen
- opgesloten
- Machines
- groot
- maken
- kwaadaardig
- malware
- Maart
- kan zijn
- maatregelen
- noemen
- Bericht
- messaging
- methode
- Mexico
- miljoen
- monitor
- meest
- meervoudig
- namen
- netwerk
- netwerk verkeer
- New
- geen
- nota
- roman
- nu
- aantal
- vele
- oceaan
- of
- ouder
- on
- eens
- EEN
- exploitanten
- or
- OS
- Overige
- uit
- buiten
- over
- betaald
- deel
- wachtwoorden
- Peru
- plaats
- platform
- Plato
- Plato gegevensintelligentie
- PlatoData
- Spelen
- pers
- procedures
- Losgeld
- ransomware
- Ransomware-aanval
- uitslag
- na een training
- geregistreerd
- verwant
- relatie
- uitgebracht
- niet vergeten
- verwijderen
- verslag
- Republiek
- onderzoeker
- antwoord
- Regel
- lopend
- loopt
- s
- Ontdek
- beveiligen
- veiligheid
- Veiligheidsmaatregelen
- te zien
- gezien
- sturen
- Servers
- Sessie
- reeks
- verscheidene
- showcase
- sinds
- single
- Maat
- Langzaam
- Software
- sommige
- bron
- Zuiden
- Zuid-Afrika
- specifiek
- gespecificeerd
- staat
- Statement
- dergelijk
- ondersteuning
- zeker
- Oppervlak
- tactiek
- Taiwan
- Nemen
- doelwit
- technieken
- tienen
- Thais
- Thailand
- dat
- De
- hun
- Ze
- zich
- harte
- Er.
- Deze
- van derden
- dit
- thomas
- die
- duizenden kosten
- bedreiging
- bedreigingsactoren
- drie
- niet de tijd of
- naar
- verkeer
- Trends
- twee
- ongedekt
- onbekend
- up-to-date
- geรผpload
- aangedrongen
- gebruikt
- Gebruiker
- gebruik
- waardevol
- Variant
- divers
- Ve
- vendors
- versie
- versies
- Virtueel
- vmware
- kwetsbaarheden
- was
- Wat
- wanneer
- welke
- en
- WIE
- bredere
- wil
- Met
- zonder
- waard
- zou
- X
- jaar
- jaar
- nog
- zephyrnet
- nul