Zdi se, da je nova različica izsiljevalske programske opreme Babuk napadla strežnike VMware ESXi v več državah, vključno s potrjenim zadetkom na IxMetro PowerHost, čilskem podjetju za gostovanje podatkovnih centrov. Različica se imenuje "SEXi", igra na ciljni platformi po izbiri.
Po mnenju raziskovalca kibernetske varnosti CronUp Germán Fernández, izvršni direktor PowerHost Ricardo Rubem je izdal izjavo, ki potrjuje, da je nova različica izsiljevalske programske opreme zaklenila strežnike podjetja z uporabo datotečne pripone .SEXi, pri čemer začetni vektor dostopa do notranjega omrežja še ni znan. Napadalci so zahtevali 140 milijonov dolarjev odkupnine, ki pa je Rubem navedel, da ne bo plačana.
Pojav SEXi stoji na stičišču dveh glavnih trendov izsiljevalske programske opreme: množice akterjev groženj, ki so razvil zlonamerno programsko opremo, ki temelji na izvorni kodi Babuk; in želja po ogrožanju mamljivo sočnih strežnikov VMware EXSi.
IX Napad PowerHost Del širše kampanje z izsiljevalsko programsko opremo
Medtem je Will Thomas, raziskovalec CTI pri Equinixu, odkril, za kar verjame, da je binarna datoteka, povezana s tisto, ki je bila uporabljena v napadu, poimenovana »LIMPOPOx32.bin« in označena kot različica Babuk za Linux v VirusTotal. V času tiska, da ima zlonamerna programska oprema 53-odstotno stopnjo odkrivanja na VT, pri čemer ga je 34 od 64 ponudnikov varnosti označilo za zlonamernega, odkar je bil prvič naložen 8. februarja. MalwareHunterTeam opazil nazaj na valentinovo, ko je bil uporabljen brez ročaja »SEXi« v napadu na entiteto na Tajskem.
Toda Thomas je nadalje odkril druge, sorodne binarne datoteke. Kot on tweeted, »Napad izsiljevalske programske opreme SEXi na IXMETRO POWERHOST je povezan s širšo kampanjo, ki je prizadela vsaj tri države Latinske Amerike.« Ti se imenujejo Socotra (uporabljeno v napadu v Čilu 23. marca); Ponovno Limpopo (uporabljen v napadu v Peruju 9. februarja); in Formosa (uporabljena v napadu v Mehiki 26. februarja). V zvezi s tem so v času tiska vsi trije zabeležili ničelne zaznave v VT.
Ugotovitve skupaj prikazujejo razvoj nove kampanje z uporabo različnih ponovitev SEXi, ki vse vodijo nazaj v Babuk.
Senčni TTP se pojavijo v napadih SEXi
Ni znakov o tem, od kod izvirajo operaterji zlonamerne programske opreme ali kakšni so njihovi nameni. Toda počasi nastaja vrsta taktik, tehnik in postopkov. Prvič, nomenklatura binarnih datotek izvira iz krajevnih imen. Limpopo je najsevernejša provinca Južne Afrike; Socotra je jemenski otok v Indijskem oceanu; in Formosa je bila kratkotrajna republika na Tajvanu v poznih 1800. stoletjih, potem ko je kitajska dinastija Qing prepustila svojo oblast nad otokom.
In kot je MalwareHunterTeam poudaril na X, »je morda zanimivo/vredno omeniti o tej izsiljevalski programski opremi 'SEXi', da je komunikacijska metoda, ki so jo določili akterji v opombi, seja. Medtem ko smo [smo] videli, da so ga nekateri igralci uporabljali že pred leti, se [ne] spomnim, da bi ga videl v zvezi s kakšnimi velikimi/resnimi primeri/igralci.”
Session je medplatformska aplikacija za takojšnje sporočanje s šifriranjem od konca do konca, ki poudarja zaupnost in anonimnost uporabnikov. Opomba o odkupnini v napadu IX PowerHost je pozvala podjetje, naj prenese aplikacijo in nato pošlje sporočilo s kodo »SEXi«; prejšnja opomba v tajskem napadu je pozivala k prenosu Session, vendar naj vključuje kodo »Limpopo«.
EXSi je seksi za kibernetske napadalce
Platforma hipervizorja VMware EXSi deluje na Linuxu in Linuxu podobnem OS ter lahko gosti več podatkovno bogatih virtualnih strojev (VM). Bilo je a priljubljena tarča akterjev izsiljevalske programske opreme že več let, deloma zaradi velikosti napadalne površine: glede na iskanje Shodan je več deset tisoč strežnikov ESXi izpostavljenih internetu, pri čemer večina izvaja starejše različice. In to ne upošteva tistih, ki so dosegljivi po začetni kršitvi dostopa do omrežja podjetja.
Prav tako prispeva k vse večje zanimanje izsiljevalskih tolp za EXSi, platforma ne podpira nobenega varnostnega orodja tretjih oseb.
Po poročilu iz Predvidevanje izdano lani. »To je zaradi dragocenih podatkov na teh strežnikih, čedalje večjega števila izkoriščajo ranljivosti, ki jih prizadenejo, njihovo pogosto izpostavljenost internetu in težave pri izvajanju varnostnih ukrepov, kot je zaznavanje in odziv končne točke (EDR), na teh napravah. ESXi je visoko donosna tarča za napadalce, saj gosti več navideznih strojev, kar napadalcem omogoča, da zlonamerno programsko opremo enkrat namestijo in šifrirajo številne strežnike z enim samim ukazom.«
VMware ima vodilo za pritrditev EXSi okoljih. Posebni predlogi vključujejo: Poskrbite, da bo programska oprema ESXi popravljena in posodobljena; utrdite gesla; odstranite strežnike iz interneta; spremljajte neobičajne dejavnosti v omrežnem prometu in na strežnikih ESXi; in zagotovite, da obstajajo varnostne kopije VM-jev zunaj okolja ESXi, da omogočite obnovitev.
- Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
- PlatoData.Network Vertical Generative Ai. Opolnomočite se. Dostopite tukaj.
- PlatoAiStream. Web3 Intelligence. Razširjeno znanje. Dostopite tukaj.
- PlatoESG. Ogljik, CleanTech, Energija, Okolje, sončna energija, Ravnanje z odpadki. Dostopite tukaj.
- PlatoHealth. Obveščanje o biotehnologiji in kliničnih preskušanjih. Dostopite tukaj.
- vir: https://www.darkreading.com/threat-intelligence/sexi-ransomware-desires-vmware-hypervisors
- :ima
- : je
- :ne
- :kje
- $GOR
- 23
- 26%
- 7
- 8
- 9
- a
- nenormalno
- O meni
- dostop
- Po
- Račun
- dejavnosti
- akterji
- vplivajo
- Afrika
- po
- spet
- Avgust
- vsi
- Dovoli
- že
- Ameriška
- an
- in
- anonimnost
- kaj
- aplikacija
- se prikaže
- uporaba
- SE
- AS
- At
- napad
- Napadi
- nazaj
- varnostne kopije
- temeljijo
- BE
- ker
- bilo
- počutje
- meni
- BIN
- kršitev
- širši
- vendar
- by
- klic
- poziva
- Akcija
- CAN
- center
- ceo
- Čile
- Kitajska
- izbira
- Koda
- prihaja
- Komunikacija
- podjetje
- ogrozili
- zaupnost
- POTRJENO
- prispeva
- Corporate
- države
- Crossroads
- Cybersecurity
- datum
- Podatkovno središče
- dan
- razporedi
- želje
- Odkrivanje
- Razvoj
- naprave
- Težavnost
- odkril
- ne
- don
- prenesi
- poimenovan
- prej
- pojavljajo
- pojavile
- pojav
- smirkovim
- poudarjajo
- omogočajo
- šifriranje
- šifriran
- konec koncev
- Končna točka
- zagotovitev
- entiteta
- okolje
- okolja
- enakonočje
- Tudi
- izpostavljena
- Izpostavljenost
- razširitev
- februar
- file
- Ugotovitve
- prva
- za
- Predvidevanje
- pogosto
- sveže
- iz
- nadalje
- Gangs
- veliko
- Pridelovanje
- naraščajoče zanimanje
- imel
- ročaj
- Imajo
- he
- hit
- gostitelj
- gostovanje
- Gostitelji
- HTML
- HTTPS
- i
- izvajanja
- in
- vključujejo
- Vključno
- Indian
- naveden
- indikacija
- začetna
- instant
- namere
- obresti
- Zanimivo
- notranji
- Internet
- v
- Otok
- Izdala
- IT
- ponovitve
- ITS
- sam
- jpg
- Zadnja
- Lansko leto
- Pozen
- Latinski
- Latinska Amerika
- vodi
- vsaj
- povezane
- linux
- nahaja
- zaklenjeno
- Stroji
- velika
- Znamka
- zlonamerno
- zlonamerna programska oprema
- marec
- mogoče
- ukrepe
- omenjam
- Sporočilo
- sporočanje
- Metoda
- Mexico
- milijonov
- monitor
- Najbolj
- več
- Imena
- mreža
- omrežni promet
- Novo
- št
- Upoštevajte
- roman
- zdaj
- Številka
- številne
- ocean
- of
- starejši
- on
- enkrat
- ONE
- operaterji
- or
- OS
- Ostalo
- ven
- zunaj
- več
- plačana
- del
- gesla
- peru
- Kraj
- platforma
- platon
- Platonova podatkovna inteligenca
- PlatoData
- Predvajaj
- pritisnite
- Postopki
- Ransom
- izsiljevalska
- Napad izsiljevalske programske opreme
- izpuščaj
- okrevanje
- registriranih
- povezane
- Razmerje
- sprosti
- ne pozabite
- odstrani
- poročilo
- Republika
- raziskovalec
- Odgovor
- Pravilo
- tek
- deluje
- s
- Iskalnik
- zavarovanje
- varnost
- Varnostni ukrepi
- videnje
- videl
- pošljite
- Strežniki
- Zasedanje
- nastavite
- več
- predstavitev
- saj
- sam
- Velikosti
- Počasi
- Software
- nekaj
- vir
- South
- Južna Afrika
- specifična
- določeno
- stojala
- Izjava
- taka
- podpora
- Preverite
- Površina
- taktike
- Tajvan
- Bodite
- ciljna
- tehnike
- deset
- tajska
- Tajska
- da
- O
- njihove
- Njih
- sami
- POTEM
- Tukaj.
- te
- tretjih oseb
- ta
- thomas
- tisti,
- tisoče
- Grožnja
- akterji groženj
- 3
- čas
- do
- Prometa
- Trends
- dva
- nepokrite
- neznan
- up-to-date
- naložili
- nujno
- Rabljeni
- uporabnik
- uporabo
- dragocene
- Variant
- različnih
- Ve
- prodajalci
- različica
- različice
- Virtual
- VMware
- Ranljivosti
- je
- Kaj
- kdaj
- ki
- medtem
- WHO
- širše
- bo
- z
- brez
- vredno
- bi
- X
- leto
- let
- še
- zefirnet
- nič