Vad som verkar vara en ny variant av Babuk ransomware har dykt upp för att attackera VMware ESXi-servrar i flera länder, inklusive en bekräftad träff på IxMetro PowerHost, ett chilenskt värdföretag för datacenter. Varianten kallar sig "SEXi", en pjäs på den valda plattformen.
Enligt CronUps cybersäkerhetsforskare tyska Fernandez, PowerHosts vd Ricardo Rubem utfärdade ett uttalande som bekräftade att en ny ransomware-variant hade låst upp företagets servrar med filtillägget .SEXi, med den initiala åtkomstvektorn till det interna nätverket ännu okänd. Angriparna begärde 140 miljoner dollar i lösen, vilket Rubem indikerade inte skulle betalas ut.
SEXis uppkomst står vid korsningen av två stora ransomware-trender: utslagen av hotaktörer som har utvecklat skadlig programvara baserat på Babuk-källkoden; och en lust att kompromissa med lockande saftiga VMware EXSi-servrar.
IX PowerHost Attack Del av Wider Ransomware Campaign
Samtidigt avslöjade Will Thomas, CTI-forskare vid Equinix, vad han tror är ett binärt material relaterat till det som användes i attacken, kallat "LIMPOPOx32.bin" och taggat som en Linux-version av Babuk i VirusTotal. Vid presstid, att skadlig programvara har en upptäcktsgrad på 53 % på VT, med 34 av 64 säkerhetsleverantörer som flaggade det som skadligt sedan det först laddades upp den 8 februari. MalwareHunterTeam upptäckte det tillbaka på Alla hjärtans dag, när den användes utan "SEXi"-handtaget i en attack mot en enhet i Thailand.
Men Thomas upptäckte ytterligare andra, relaterade binärer. Som han Tweeted, "SEXi ransomware-attack på IXMETRO POWERHOST kopplat till en bredare kampanj som har drabbat minst tre latinamerikanska länder." Dessa kallar sig Socotra (används i en attack i Chile den 23 mars); Limpopo igen (används i en attack i Peru den 9 februari); och Formosa (används i en attack i Mexiko den 26 februari). Beträffande, vid presstillfället registrerade alla tre nolldetekteringar i VT.
Tillsammans visar resultaten upp utvecklingen av en ny kampanj med olika SEXi-iterationer som alla leder tillbaka till Babuk.
Skuggiga TTP:er dyker upp i SEXi-attacker
Det finns ingen indikation på var operatörerna av skadlig programvara kommer ifrån eller vad de har för avsikter. Men sakta växer en uppsättning taktiker, tekniker och procedurer fram. För det första kommer binärernas nomenklatur från ortnamn. Limpopo är den nordligaste provinsen i Sydafrika; Socotra är en jemenitisk ö i Indiska oceanen; och Formosa var en kortlivad republik belägen på Taiwan i slutet av 1800-talet, efter att Kinas Qingdynasti avstod från sitt styre över ön.
Och, som MalwareHunterTeam påpekade på X, "kanske intressant / värt att nämna om denna 'SEXi' ransomware att kommunikationsmetoden som specificeras av aktörerna i anteckningen är Session. Även om vi [har] sett några skådespelare använda det redan för flera år sedan, minns jag [inte] att jag sett det i samband med några stora/allvarliga fall/skådespelare."
Session är en plattformsoberoende, end-to-end krypterad applikation för snabbmeddelanden som betonar användarnas konfidentialitet och anonymitet. Lösenedeln i IX PowerHost-attacken uppmanade företaget att ladda ner appen och sedan skicka ett meddelande med koden "SEXi"; den tidigare noteringen i den thailändska attacken uppmanade nedladdningen av sessionen men att inkludera koden "Limpopo."
EXSi är sexig mot cyberattackare
VMwares EXSi hypervisorplattform körs på Linux och Linux-liknande operativsystem och kan vara värd för flera, datarika virtuella maskiner (VM). Det har varit en populärt mål för ransomware-aktörer i flera år nu, delvis på grund av storleken på attackytan: Det finns tiotusentals ESXi-servrar exponerade för Internet, enligt en Shodan-sökning, med de flesta av dem som kör äldre versioner. Och det tar inte hänsyn till de som är tillgängliga efter ett första åtkomstbrott i ett företagsnätverk.
Bidrar också till ransomware-gängs växande intresse för EXSi, plattformen stöder inte några säkerhetsverktyg från tredje part.
"Ohanterade enheter som ESXi-servrar är ett bra mål för aktörer som hotar ransomware", enligt en rapport från Forescout släpptes förra året. "Det beror på den värdefulla informationen på dessa servrar, ett växande antal utnyttjade sårbarheter som påverkar dem, deras frekventa Internetexponering och svårigheten att implementera säkerhetsåtgärder, såsom endpoint detection and response (EDR), på dessa enheter. ESXi är ett högavkastande mål för angripare eftersom det är värd för flera virtuella datorer, vilket gör att angripare kan distribuera skadlig programvara en gång och kryptera flera servrar med ett enda kommando.”
VMware har en guide för att säkra EXSi miljöer. Specifika förslag inkluderar: Se till att ESXi-programvaran är korrigerad och uppdaterad; hårda lösenord; ta bort servrar från Internet; övervaka onormala aktiviteter på nätverkstrafik och på ESXi-servrar; och se till att det finns säkerhetskopior av virtuella datorer utanför ESXi-miljön för att möjliggöra återställning.
- SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
- PlatoData.Network Vertical Generative Ai. Styrka dig själv. Tillgång här.
- PlatoAiStream. Web3 Intelligence. Kunskap förstärkt. Tillgång här.
- Platoesg. Kol, CleanTech, Energi, Miljö, Sol, Avfallshantering. Tillgång här.
- PlatoHealth. Biotech och kliniska prövningar Intelligence. Tillgång här.
- Källa: https://www.darkreading.com/threat-intelligence/sexi-ransomware-desires-vmware-hypervisors
- : har
- :är
- :inte
- :var
- $UPP
- 23
- 26%
- 7
- 8
- 9
- a
- onormal
- Om oss
- tillgång
- Enligt
- Konto
- aktiviteter
- aktörer
- påverkar
- afrika
- Efter
- igen
- sedan
- Alla
- tillåta
- redan
- amerikan
- an
- och
- anonymitet
- vilken som helst
- app
- visas
- Ansökan
- ÄR
- AS
- At
- attackera
- Attacker
- tillbaka
- säkerhetskopior
- baserat
- BE
- därför att
- varit
- Där vi får lov att vara utan att konstant prestera,
- tror
- SOPTUNNA
- brott
- bredare
- men
- by
- Ring
- Samtal
- Kampanj
- KAN
- Centrum
- VD
- Chile
- Kina
- val
- koda
- kommer
- Kommunikation
- företag
- komprometterande
- konfidentialitet
- BEKRÄFTAT
- Bidragande
- Företag
- länder
- Vägkorsning
- Cybersäkerhet
- datum
- Data Center
- dag
- distribuera
- önskningar
- Detektering
- Utveckling
- enheter
- Svårighet
- upptäckt
- doesn
- donation
- ladda ner
- dubbade
- Tidigare
- framträda
- dykt
- uppkomst
- smärgel
- betona
- möjliggöra
- kryptera
- krypterad
- början till slut
- Slutpunkt
- säkerställa
- enhet
- Miljö
- miljöer
- Equinix
- Även
- utsatta
- Exponering
- förlängning
- februari
- Fil
- resultat
- Förnamn
- För
- Forescout
- frekvent
- färsk
- från
- ytterligare
- gäng
- stor
- Odling
- växande intresse
- hade
- hantera
- Har
- he
- Träffa
- värd
- värd
- värdar
- html
- HTTPS
- i
- genomföra
- in
- innefattar
- Inklusive
- indisk
- indikerade
- indikation
- inledande
- omedelbar
- intentioner
- intresse
- intressant
- inre
- Internet
- in
- ö
- Utfärdad
- IT
- iterationer
- DESS
- sig
- jpg
- Efternamn
- Förra året
- Sent
- latin
- Latinamerika
- leda
- t minst
- kopplade
- linux
- belägen
- låst
- Maskiner
- större
- göra
- skadlig
- malware
- Mars
- kanske
- åtgärder
- nämna
- meddelande
- meddelandehantering
- metod
- Mexico
- miljon
- Övervaka
- mest
- multipel
- namn
- nät
- nätverkstrafik
- Nya
- Nej
- Notera
- roman
- nu
- antal
- talrik
- hav
- of
- äldre
- on
- gång
- ONE
- operatörer
- or
- OS
- Övriga
- ut
- utanför
- över
- betalas
- del
- lösenord
- Peru
- Plats
- plattform
- plato
- Platon Data Intelligence
- PlatonData
- Spela
- tryck
- förfaranden
- Ransom
- Ransomware
- Ransomware Attack
- utslag
- återvinning
- registrerat
- relaterad
- förhållande
- frigörs
- ihåg
- ta bort
- rapport
- Republiken
- forskaren
- respons
- Regel
- rinnande
- kör
- s
- Sök
- säkring
- säkerhet
- Säkerhetsåtgärder
- se
- sett
- sända
- Servrar
- session
- in
- flera
- visa
- eftersom
- enda
- Storlek
- Långsamt
- Mjukvara
- några
- Källa
- Söder
- Sydafrika
- specifik
- specificerade
- står
- .
- sådana
- stödja
- säker
- yta
- taktik
- Taiwan
- Ta
- Målet
- tekniker
- tiotals
- thai
- Thailand
- den där
- Smakämnen
- deras
- Dem
- sig själva
- sedan
- Där.
- Dessa
- tredje part
- detta
- thomas
- de
- tusentals
- hot
- hotaktörer
- tre
- tid
- till
- trafik
- Trender
- två
- avtäckt
- okänd
- TIDSENLIG
- uppladdad
- manade
- Begagnade
- Användare
- med hjälp av
- Värdefulla
- Variant
- olika
- Ve
- försäljare
- version
- versioner
- Virtuell
- vmware
- sårbarheter
- var
- Vad
- när
- som
- medan
- VEM
- bredare
- kommer
- med
- utan
- värt
- skulle
- X
- år
- år
- ännu
- zephyrnet
- noll-