Pojawiło się coś, co wydaje się być nowym wariantem ransomware Babuk i atakuje serwery VMware ESXi w kilku krajach, w tym potwierdzonym atakiem na IxMetro PowerHost, chilijską firmę hostingową dla centrów danych. Wariant nazywa się „SEXi”, co jest grą na wybranej platformie docelowej.
Według badacza cyberbezpieczeństwa CronUp Niemiec Fernández, dyrektor generalny PowerHost, Ricardo Rubem, wydał oświadczenie potwierdzające, że nowy wariant oprogramowania ransomware zablokował serwery firmy przy użyciu rozszerzenia pliku .SEXi, a początkowy wektor dostępu do sieci wewnętrznej był jeszcze nieznany. Napastnicy zażądali okupu w wysokości 140 milionów dolarów, który, jak wskazał Rubem, nie zostanie zapłacony.
Pojawienie się SEXi zbiegło się z dwoma głównymi trendami w oprogramowaniu ransomware: falą cyberprzestępców, którzy opracował złośliwe oprogramowanie oparte na kodzie źródłowym Babuk; i chęć kompromitowania kusząco soczystych serwerów VMware EXSi.
IX atak PowerHost będący częścią szerszej kampanii dotyczącej oprogramowania ransomware
Tymczasem Will Thomas, badacz CTI w Equinix, odkrył coś, co uważa za plik binarny powiązany z tym użytym w ataku, nazwany „LIMPOPOx32.bin” i oznaczony w VirusTotal jako linuksowa wersja Babuka. W czasie prasy, że złośliwe oprogramowanie ma współczynnik wykrywalności na poziomie 53%. na VT, przy czym 34 z 64 dostawców zabezpieczeń oznaczyło go jako złośliwy od czasu jego pierwszego przesłania 8 lutego. MalwareHunterTeam zauważył to w Walentynki, kiedy użyto go bez uchwytu „SEXi” w ataku na podmiot w Tajlandii.
Ale Thomas odkrył później inne, powiązane pliki binarne. Jak on podsumowałem, „Atak ransomware SEXi na IXMETRO POWERHOST powiązany z szerszą kampanią, która dotknęła co najmniej trzy kraje Ameryki Łacińskiej”. Nazywają się oni Socotra (użyto podczas ataku w Chile 23 marca); ponownie Limpopo (użyte w ataku w Peru 9 lutego); i Formoza (użyta w ataku w Meksyku 26 lutego). Co ciekawe, w momencie publikacji prasy wszystkie trzy zarejestrowały zerowe wykrycia w VT.
Łącznie ustalenia pokazują rozwój nowatorskiej kampanii wykorzystującej różne iteracje SEXi, które prowadzą z powrotem do Babuka.
Cienie TTP pojawiają się w atakach SEXi
Nic nie wskazuje na to, skąd pochodzą operatorzy szkodliwego oprogramowania ani jakie są ich zamiary. Jednak powoli pojawia się zestaw taktyk, technik i procedur. Po pierwsze, nazewnictwo binarne pochodzi od nazw miejscowości. Limpopo to najbardziej na północ wysunięta prowincja Republiki Południowej Afryki; Socotra to jemeńska wyspa na Oceanie Indyjskim; a Formoza była krótkotrwałą republiką położoną na Tajwanie pod koniec XIX wieku, po tym, jak chińska dynastia Qing zrzekła się władzy nad wyspą.
I, jak zauważył MalwareHunterTeam w X, „być może interesujące / warte wspomnienia w odniesieniu do tego oprogramowania ransomware „SEXi”, że metodą komunikacji określoną przez aktorów w notatce jest sesja. Chociaż widzieliśmy, jak niektórzy aktorzy używali go już wiele lat temu, [nie] pamiętam, żebym widział to w odniesieniu do jakichkolwiek dużych/poważnych przypadków/aktorów”.
Session to wieloplatformowa, kompleksowo szyfrowana aplikacja do przesyłania wiadomości błyskawicznych, kładąca nacisk na poufność i anonimowość użytkownika. Notatka z żądaniem okupu zawarta w ataku IX PowerHost namawiała firmę do pobrania aplikacji, a następnie wysłania wiadomości z kodem „SEXi”; wcześniejsza notatka dotycząca tajskiego ataku nalegała na pobranie sesji, ale zawierała kod „Limpopo”.
EXSi jest seksowny dla cyberataków
Platforma hiperwizora EXSi firmy VMware działa na systemach Linux i systemach operacyjnych podobnych do systemu Linux i może obsługiwać wiele maszyn wirtualnych bogatych w dane. To było popularny cel dla podmiotów zajmujących się oprogramowaniem ransomware od lat, częściowo ze względu na wielkość powierzchni ataku: według wyszukiwania Shodan w Internecie znajdują się dziesiątki tysięcy serwerów ESXi, a większość z nich korzysta ze starszych wersji. Nie uwzględnia to tych, które są osiągalne po pierwszym naruszeniu dostępu do sieci korporacyjnej.
Przyczynia się również do rosnące zainteresowanie gangów zajmujących się oprogramowaniem ransomware EXSi, platforma nie obsługuje żadnych narzędzi zabezpieczających innych firm.
„Niezarządzane urządzenia, takie jak serwery ESXi, są doskonałym celem dla cyberprzestępców zajmujących się oprogramowaniem ransomware” – wynika z raportu opublikowanego przez Przeszukiwanie wydany w zeszłym roku. „Dzieje się tak ze względu na cenne dane na tych serwerach, których coraz więcej wykorzystywane luki, które na nie wpływają, ich częsty kontakt z Internetem oraz trudność we wdrażaniu na tych urządzeniach środków bezpieczeństwa, takich jak wykrywanie i reagowanie na punkty końcowe (EDR). ESXi jest celem dla atakujących o dużej wydajności, ponieważ obsługuje kilka maszyn wirtualnych, co pozwala atakującym jednorazowo wdrożyć złośliwe oprogramowanie i zaszyfrować wiele serwerów za pomocą jednego polecenia”.
VMware ma przewodnik dotyczący zabezpieczania EXSi środowiska. Konkretne sugestie obejmują: Upewnij się, że oprogramowanie ESXi jest poprawione i aktualne; utwardzać hasła; usuń serwery z Internetu; monitorować nietypowe działania w ruchu sieciowym i na serwerach ESXi; i upewnij się, że istnieją kopie zapasowe maszyn wirtualnych poza środowiskiem ESXi, aby umożliwić odzyskiwanie.
- Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
- PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
- PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
- PlatonESG. Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
- Platon Zdrowie. Inteligencja w zakresie biotechnologii i badań klinicznych. Dostęp tutaj.
- Źródło: https://www.darkreading.com/threat-intelligence/sexi-ransomware-desires-vmware-hypervisors
- :ma
- :Jest
- :nie
- :Gdzie
- $W GÓRĘ
- 23
- 26%
- 7
- 8
- 9
- a
- nieprawidłowy
- O nas
- dostęp
- Stosownie
- Konto
- zajęcia
- aktorzy
- wpływający
- Afryka
- Po
- ponownie
- temu
- Wszystkie kategorie
- Pozwalać
- już
- amerykański
- an
- i
- Anonimowość
- każdy
- Aplikacja
- pojawia się
- Zastosowanie
- SĄ
- AS
- At
- atakować
- Ataki
- z powrotem
- Kopie zapasowe
- na podstawie
- BE
- bo
- być
- jest
- uważa,
- BIN
- naruszenie
- szerszy
- ale
- by
- wezwanie
- Połączenia
- Kampania
- CAN
- Centrum
- ceo
- Chile
- Chiny
- wybór
- kod
- byliśmy spójni, od początku
- Komunikacja
- sukcesy firma
- kompromis
- poufność
- ZATWARDZIAŁY
- przyczyniając
- Korporacyjny
- kraje
- Rozdroże
- Bezpieczeństwo cybernetyczne
- dane
- Centrum danych
- dzień
- rozwijać
- pragnienia
- Wykrywanie
- oprogramowania
- urządzenia
- Trudność
- odkryty
- robi
- darowizna
- pobieranie
- dubbingowane
- Wcześniej
- wyłaniać się
- wyłonił
- powstanie
- wschodzących
- podkreślając
- umożliwiać
- Szyfrowanie
- szyfrowane
- koniec końców
- Punkt końcowy
- zapewnić
- jednostka
- Środowisko
- środowiska
- equinix
- Parzyste
- narażony
- Ekspozycja
- rozbudowa
- luty
- filet
- Ustalenia
- i terminów, a
- W razie zamówieenia projektu
- Przeszukiwanie
- częsty
- świeży
- od
- dalej
- Gangi
- wspaniały
- Rozwój
- Rosnące zainteresowanie
- miał
- uchwyt
- Have
- he
- Dobranie (Hit)
- gospodarz
- Hosting
- gospodarze
- HTML
- HTTPS
- i
- wykonawczych
- in
- zawierać
- Włącznie z
- Hindusi
- wskazany
- wskazanie
- początkowy
- natychmiastowy
- intencje
- odsetki
- ciekawy
- wewnętrzny
- Internet
- najnowszych
- wyspa
- Wydany
- IT
- iteracje
- JEGO
- samo
- jpg
- Nazwisko
- Ostatni rok
- Późno
- łacina
- Ameryki Łacińskiej
- prowadzić
- najmniej
- powiązany
- linux
- usytuowany
- zamknięty
- maszyny
- poważny
- robić
- złośliwy
- malware
- March
- może
- środków
- wspominać
- wiadomość
- wiadomości
- metoda
- Meksyk
- milion
- monitor
- większość
- wielokrotność
- Nazwy
- sieć
- ruch sieciowy
- Nowości
- Nie
- noty
- powieść
- już dziś
- numer
- liczny
- ocean
- of
- starszych
- on
- pewnego razu
- ONE
- operatorzy
- or
- OS
- Inne
- na zewnątrz
- zewnętrzne
- koniec
- płatny
- część
- hasła
- Peru
- Miejsce
- Platforma
- plato
- Analiza danych Platona
- PlatoDane
- Grać
- naciśnij
- procedury
- Okup
- ransomware
- Atak ransomware
- wysypka
- regeneracja
- zarejestrowany
- związane z
- relacja
- wydany
- pamiętać
- usunąć
- raport
- Republika
- badacz
- odpowiedź
- Zasada
- bieganie
- działa
- s
- Szukaj
- zabezpieczenia
- bezpieczeństwo
- Środki bezpieczeństwa
- widzenie
- widziany
- wysłać
- Serwery
- Sesja
- zestaw
- kilka
- prezentacja
- ponieważ
- pojedynczy
- Rozmiar
- Powoli
- Tworzenie
- kilka
- Źródło
- Południe
- RPA
- specyficzny
- określony
- stojaki
- Zestawienie sprzedaży
- taki
- wsparcie
- pewnie
- Powierzchnia
- taktyka
- Tajwan
- Brać
- cel
- Techniki
- kilkadziesiąt
- tajski
- Tajlandia
- że
- Połączenia
- ich
- Im
- sami
- następnie
- Tam.
- Te
- innych firm
- to
- Tomasz
- tych
- tysiące
- groźba
- podmioty grożące
- trzy
- czas
- do
- ruch drogowy
- Trendy
- drugiej
- odkryte
- nieznany
- nowomodny
- przesłanych
- ponagliłem
- używany
- Użytkownik
- za pomocą
- Cenny
- Wariant
- różnorodny
- Ve
- sprzedawców
- wersja
- Wersje
- Wirtualny
- vmware
- Luki w zabezpieczeniach
- była
- Co
- jeśli chodzi o komunikację i motywację
- który
- Podczas
- KIM
- szerszy
- będzie
- w
- bez
- wartość
- by
- X
- rok
- lat
- jeszcze
- zefirnet
- zero