Det som ser ut til å være en fersk variant av Babuk-ransomware har dukket opp for å angripe VMware ESXi-servere i flere land, inkludert et bekreftet treff på IxMetro PowerHost, et chilensk vertsselskap for datasenter. Varianten kaller seg "SEXi", et skuespill på den valgte plattformen.
Ifølge CronUp cybersecurity-forsker Germán Fernandez, PowerHost-sjef Ricardo Rubem utstedte en uttalelse som bekreftet at en ny løsepengevare-variant hadde låst opp selskapets servere ved å bruke .SEXi-filtypen, med den første tilgangsvektoren til det interne nettverket ennå ukjent. Angriperne ba om 140 millioner dollar i løsepenger, noe Rubem indikerte ikke ville bli betalt.
SEXis fremvekst står i krysset mellom to store løsepengevaretrender: utslettet av trusselaktører som har utviklet skadelig programvare basert på Babuk-kildekoden; og et begjær etter å kompromittere fristende saftige VMware EXSi-servere.
IX PowerHost Attack Del av Wider Ransomware-kampanje
I mellomtiden avdekket Will Thomas, CTI-forsker ved Equinix, det han mener er en binærfil relatert til det som ble brukt i angrepet, kalt "LIMPOPOx32.bin" og merket som en Linux-versjon av Babuk i VirusTotal. Ved pressetid, at skadelig programvare har en gjenkjenningsrate på 53 % på VT, med 34 av 64 sikkerhetsleverandører som har flagget det som skadelig siden det først ble lastet opp 8. februar. MalwareHunterTeam oppdaget det tilbake på Valentinsdagen, da den ble brukt uten "SEXi"-håndtaket i et angrep på en enhet i Thailand.
Men Thomas oppdaget videre andre, relaterte binærfiler. Som han twitret, "SEXi løsepengevareangrep på IXMETRO POWERHOST knyttet til en bredere kampanje som har rammet minst tre latinamerikanske land." Disse kaller seg Socotra (brukt i et angrep i Chile 23. mars); Limpopo igjen (brukt i et angrep i Peru 9. februar); og Formosa (brukt i et angrep i Mexico 26. februar). Ved pressetid registrerte alle tre nulldeteksjoner i VT.
Sammen viser funnene utviklingen av en ny kampanje med forskjellige SEXi-iterasjoner som alle fører tilbake til Babuk.
Skyggefulle TTP-er dukker opp i SEXi-angrep
Det er ingen indikasjon på hvor skadevareoperatørene kommer fra eller hva deres intensjoner er. Men sakte dukker det opp et sett med taktikker, teknikker og prosedyrer. For det første kommer binærenes nomenklatur fra stedsnavn. Limpopo er den nordligste provinsen i Sør-Afrika; Socotra er en jemenittisk øy i Det indiske hav; og Formosa var en kortvarig republikk som lå på Taiwan på slutten av 1800-tallet, etter at Kinas Qing-dynasti avga sitt styre over øya.
Og, som MalwareHunterTeam påpekte på X, "kanskje interessant / verdt å nevne om denne 'SEXi' løsepengevaren at kommunikasjonsmetoden spesifisert av aktørene i notatet er Session. Selv om vi [har] sett noen skuespillere bruke det til og med for år siden allerede, husker jeg [ikke] å ha sett det i forhold til noen store/alvorlige saker/skuespillere.»
Session er en ende-til-ende kryptert direktemeldingsapplikasjon på tvers av plattformer som legger vekt på brukerkonfidensialitet og anonymitet. Løsepengene i IX PowerHost-angrepet oppfordret selskapet til å laste ned appen og deretter sende en melding med koden «SEXi»; det tidligere notatet i det thailandske angrepet oppfordret nedlastingen av økten til å inkludere koden «Limpopo».
EXSi er sexy mot nettangripere
VMwares EXSi hypervisor-plattform kjører på Linux og Linux-lignende OS, og kan være vert for flere, datarike virtuelle maskiner (VM). Det har vært en populært mål for løsepengevareaktører i årevis nå, delvis på grunn av størrelsen på angrepsoverflaten: Det er titusenvis av ESXi-servere utsatt for Internett, ifølge et Shodan-søk, med de fleste av dem som kjører eldre versjoner. Og det tar ikke hensyn til de som er tilgjengelige etter et første tilgangsbrudd på et bedriftsnettverk.
Bidrar også til løsepengegjengers økende interesse for EXSi, støtter ikke plattformen noen tredjeparts sikkerhetsverktøy.
"Uadministrerte enheter som ESXi-servere er et godt mål for aktører av løsepengevaretrussel," ifølge en rapport fra Forescout utgitt i fjor. "Det er på grunn av de verdifulle dataene på disse serverne, et økende antall utnyttet sårbarheter som påvirker dem, deres hyppige Internett-eksponering og vanskeligheten med å implementere sikkerhetstiltak, for eksempel endepunktdeteksjon og -respons (EDR), på disse enhetene. ESXi er et høytytende mål for angripere siden den er vert for flere VM-er, slik at angripere kan distribuere skadelig programvare én gang og kryptere flere servere med en enkelt kommando.»
VMware har en veiledning for sikring av EXSi miljøer. Spesifikke forslag inkluderer: Sørg for at ESXi-programvaren er oppdatering og oppdatert; herde passord; fjerne servere fra Internett; overvåke for unormale aktiviteter på nettverkstrafikk og på ESXi-servere; og sørg for at det er sikkerhetskopier av VM-ene utenfor ESXi-miljøet for å muliggjøre gjenoppretting.
- SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk deg selv. Tilgang her.
- PlatoAiStream. Web3 Intelligence. Kunnskap forsterket. Tilgang her.
- PlatoESG. Karbon, CleanTech, Energi, Miljø, Solenergi, Avfallshåndtering. Tilgang her.
- PlatoHelse. Bioteknologisk og klinisk etterretning. Tilgang her.
- kilde: https://www.darkreading.com/threat-intelligence/sexi-ransomware-desires-vmware-hypervisors
- : har
- :er
- :ikke
- :hvor
- $OPP
- 23
- 26%
- 7
- 8
- 9
- a
- unormal
- Om oss
- adgang
- Ifølge
- Logg inn
- Aktiviteter
- aktører
- påvirker
- afrika
- Etter
- en gang til
- siden
- Alle
- tillate
- allerede
- amerikansk
- an
- og
- anonymitet
- noen
- app
- vises
- Søknad
- ER
- AS
- At
- angripe
- Angrep
- tilbake
- sikkerhetskopier
- basert
- BE
- fordi
- vært
- være
- mener
- BIN
- brudd
- bredere
- men
- by
- ring
- Samtaler
- Kampanje
- CAN
- sentrum
- konsernsjef
- Chile
- Kina
- valg
- kode
- kommer
- Kommunikasjon
- Selskapet
- kompromittere
- konfidensialitet
- BEKREFTET
- medvirkende
- Bedriftens
- land
- Kryss
- Cybersecurity
- dato
- Datasenter
- dag
- utplassere
- begjær
- Gjenkjenning
- Utvikling
- Enheter
- Vanskelighetsgrad
- oppdaget
- doesn
- Don
- nedlasting
- dubbet
- Tidligere
- dukke
- dukket
- veksten
- Emery
- streker
- muliggjøre
- kryptere
- kryptert
- ende til ende
- Endpoint
- sikre
- enhet
- Miljø
- miljøer
- Equinix
- Selv
- utsatt
- Eksponering
- forlengelse
- Februar
- filet
- funn
- Først
- Til
- Forescout
- hyppig
- fersk
- fra
- videre
- Gangs
- flott
- Økende
- økende interesse
- HAD
- håndtere
- Ha
- he
- hit
- vert
- Hosting
- Vertskapet
- HTML
- HTTPS
- i
- implementere
- in
- inkludere
- Inkludert
- indisk
- indikert
- indikasjon
- innledende
- instant
- intensjoner
- interesse
- interessant
- intern
- Internet
- inn
- Øya
- Utstedt
- IT
- gjentakelser
- DET ER
- selv
- jpg
- Siste
- I fjor
- Late
- Latin
- Latinamerikanske
- føre
- minst
- knyttet
- linux
- ligger
- låst
- maskiner
- større
- gjøre
- skadelig
- malware
- Mars
- kan være
- målinger
- nevner
- melding
- meldinger
- metode
- Mexico
- millioner
- Overvåke
- mest
- flere
- navn
- nettverk
- nettverkstrafikk
- Ny
- Nei.
- note
- roman
- nå
- Antall
- mange
- hav
- of
- eldre
- on
- gang
- ONE
- operatører
- or
- OS
- Annen
- ut
- utenfor
- enn
- betalt
- del
- passord
- peru
- Sted
- plattform
- plato
- Platon Data Intelligence
- PlatonData
- Spille
- trykk
- prosedyrer
- Ransom
- ransomware
- Ransomware -angrep
- utslett
- utvinning
- registrert
- i slekt
- forhold
- utgitt
- husker
- fjerne
- rapporterer
- Republic
- forsker
- svar
- Regel
- rennende
- går
- s
- Søk
- sikring
- sikkerhet
- Sikkerhetstiltak
- se
- sett
- send
- Servere
- Session
- sett
- flere
- presentere
- siden
- enkelt
- Størrelse
- Sakte
- Software
- noen
- kilde
- Sør
- Sør-Afrika
- spesifikk
- spesifisert
- står
- Uttalelse
- slik
- støtte
- sikker
- overflaten
- taktikk
- Taiwan
- Ta
- Target
- teknikker
- titus
- thai
- Thailand
- Det
- De
- deres
- Dem
- seg
- deretter
- Der.
- Disse
- tredjeparts
- denne
- thomas
- De
- tusener
- trussel
- trusselaktører
- tre
- tid
- til
- trafikk
- Trender
- to
- avdekket
- ukjent
- up-to-date
- lastet opp
- oppfordret
- brukt
- Bruker
- ved hjelp av
- Verdifull
- variant
- ulike
- Ve
- leverandører
- versjon
- versjoner
- virtuelle
- VMware
- Sikkerhetsproblemer
- var
- Hva
- når
- hvilken
- mens
- HVEM
- bredere
- vil
- med
- uten
- verdt
- ville
- X
- år
- år
- ennå
- zephyrnet
- null