สิ่งที่ดูเหมือนจะเป็นตัวแปรใหม่ของแรนซัมแวร์ Babuk ได้เกิดขึ้นเพื่อโจมตีเซิร์ฟเวอร์ VMware ESXi ในหลายประเทศ รวมถึงการโจมตีที่ยืนยันแล้วใน IxMetro PowerHost ซึ่งเป็นบริษัทโฮสติ้งศูนย์ข้อมูลของชิลี ตัวแปรเรียกตัวเองว่า “SEXi” ซึ่งเป็นการเล่นบนแพลตฟอร์มเป้าหมายที่เลือก
ตามที่นักวิจัยความปลอดภัยทางไซเบอร์ของ CronUp กล่าว เฟอร์นันเดซชาวเยอรมันRicardo Rubem ซีอีโอของ PowerHost ออกแถลงการณ์ยืนยันว่าแรนซัมแวร์สายพันธุ์ใหม่ได้ล็อคเซิร์ฟเวอร์ของบริษัทโดยใช้นามสกุลไฟล์ .SEXi โดยที่เวกเตอร์การเข้าถึงเริ่มต้นไปยังเครือข่ายภายในยังไม่ทราบ ผู้โจมตีร้องขอเงินจำนวน 140 ล้านดอลลาร์เพื่อเรียกค่าไถ่ ซึ่ง Rubem ระบุว่าจะไม่ได้รับเงิน
การเกิดขึ้นของ SEXi ยืนอยู่ตรงทางแยกของแนวโน้มแรนซัมแวร์หลักสองประการ: การเกิดขึ้นของผู้แสดงภัยคุกคามที่มี พัฒนามัลแวร์ตามซอร์สโค้ด Babuk- และความปรารถนาที่จะประนีประนอมกับเซิร์ฟเวอร์ VMware EXSi ที่เย้ายวนใจ
IX PowerHost Attack ส่วนหนึ่งของแคมเปญ Ransomware ที่กว้างขึ้น
ในขณะเดียวกัน Will Thomas นักวิจัย CTI ที่ Equinix ได้ค้นพบสิ่งที่เขาเชื่อว่าเป็นไบนารีที่เกี่ยวข้องกับที่ใช้ในการโจมตี โดยมีชื่อว่า “LIMPOPOx32.bin” และติดแท็กเป็น Babuk เวอร์ชัน Linux ใน VirusTotal ในเวลาแถลงข่าว มัลแวร์นั้นมีอัตราการตรวจจับ 53% บน VT โดยมีผู้จำหน่ายความปลอดภัย 34 รายจาก 64 รายระบุว่าเป็นอันตรายนับตั้งแต่ถูกอัพโหลดครั้งแรกเมื่อวันที่ 8 กุมภาพันธ์ MalwareHunterTeam เห็นมัน ย้อนกลับไปในวันวาเลนไทน์ เมื่อมันถูกใช้งานโดยไม่มีตัวจัดการ “SEXi” ในการโจมตีองค์กรในประเทศไทย
แต่โทมัสยังค้นพบไบนารีอื่นๆ ที่เกี่ยวข้องอีกด้วย ในขณะที่เขา ทวีต“การโจมตีแรนซัมแวร์ SEXi บน IXMETRO POWERHOST เชื่อมโยงกับแคมเปญในวงกว้างที่โจมตีอย่างน้อยสามประเทศในละตินอเมริกา” สิ่งเหล่านี้เรียกตัวเองว่า Socotra (ใช้ในการโจมตีในชิลีเมื่อวันที่ 23 มีนาคม); Limpopo อีกครั้ง (ใช้ในการโจมตีในเปรูเมื่อวันที่ 9 กุมภาพันธ์); และฟอร์โมซา (ใช้ในการโจมตีในเม็กซิโกเมื่อวันที่ 26 กุมภาพันธ์) ในช่วงเวลาดังกล่าว การตรวจจับทั้งสามรายการบันทึกไว้ใน VT
การค้นพบนี้ร่วมกันแสดงให้เห็นถึงการพัฒนาของแคมเปญใหม่โดยใช้การจำลอง SEXi ต่างๆ ซึ่งล้วนนำย้อนกลับไปสู่ Babuk
TTP ที่เป็นเงาโผล่ออกมาในการโจมตี SEXi
ไม่มีข้อบ่งชี้ว่าผู้ดำเนินการมัลแวร์มาจากไหนหรือมีเจตนาอะไร แต่กลยุทธ์ เทคนิค และขั้นตอนต่างๆ ก็ค่อยๆ ปรากฏออกมา ประการแรก ระบบการตั้งชื่อของระบบไบนารี่มาจากชื่อสถานที่ Limpopo เป็นจังหวัดทางตอนเหนือสุดของแอฟริกาใต้ Socotra เป็นเกาะเยเมนในมหาสมุทรอินเดีย และฟอร์โมซาเป็นสาธารณรัฐอายุสั้นที่ตั้งอยู่บนไต้หวันในช่วงปลายทศวรรษที่ 1800 หลังจากที่ราชวงศ์ชิงของจีนสละการปกครองเกาะนี้
และตามที่ MalwareHunterTeam ชี้ให้เห็นใน X “อาจจะน่าสนใจ/คุ้มค่าที่จะพูดถึงเกี่ยวกับแรนซัมแวร์ 'SEXi' นี้ ซึ่งวิธีการสื่อสารที่ระบุโดยนักแสดงในบันทึกย่อคือเซสชัน แม้ว่าเราจะเคยเห็นนักแสดงบางคนใช้มันเมื่อหลายปีก่อน แต่ฉัน [จำไม่ได้] ว่าเคยเห็นมันเกี่ยวกับคดีหรือนักแสดงที่ใหญ่โตหรือร้ายแรง”
Session เป็นแอปพลิเคชั่นส่งข้อความโต้ตอบแบบทันทีที่เข้ารหัสแบบครบวงจรข้ามแพลตฟอร์ม โดยเน้นการรักษาความลับและการไม่เปิดเผยตัวตนของผู้ใช้ ข้อความเรียกค่าไถ่ในการโจมตี IX PowerHost กระตุ้นให้บริษัทดาวน์โหลดแอป จากนั้นส่งข้อความพร้อมรหัส “SEXi” บันทึกก่อนหน้าในการโจมตีของไทยกระตุ้นให้ดาวน์โหลดเซสชัน แต่รวมโค้ด "Limpopo"
EXSi เซ็กซี่สำหรับนักโจมตีทางไซเบอร์
แพลตฟอร์มไฮเปอร์ไวเซอร์ EXSi ของ VMware ทำงานบน Linux และระบบปฏิบัติการที่คล้ายกับ Linux และสามารถโฮสต์เครื่องเสมือน (VM) ที่อุดมไปด้วยข้อมูลได้หลายเครื่อง มันเป็นก เป้าหมายยอดนิยมสำหรับนักแสดงแรนซัมแวร์ เป็นเวลาหลายปีแล้ว ส่วนหนึ่งเป็นเพราะขนาดของพื้นผิวการโจมตี: จากการค้นหาของ Shodan มีเซิร์ฟเวอร์ ESXi นับหมื่นเครื่องที่ถูกเปิดเผยบนอินเทอร์เน็ต โดยส่วนใหญ่ใช้เวอร์ชันเก่า และนั่นไม่ได้คำนึงถึงสิ่งที่สามารถเข้าถึงได้หลังจากการละเมิดการเข้าถึงเครือข่ายองค์กรครั้งแรก
ร่วมสมทบทุนด้วย ความสนใจที่เพิ่มขึ้นของแก๊งแรนซัมแวร์ใน EXSiแพลตฟอร์มดังกล่าวไม่รองรับเครื่องมือรักษาความปลอดภัยของบุคคลที่สาม
“อุปกรณ์ที่ไม่มีการจัดการ เช่น เซิร์ฟเวอร์ ESXi เป็นเป้าหมายที่ยอดเยี่ยมสำหรับผู้แสดงภัยคุกคามแรนซัมแวร์” ตามรายงานจาก เสือป่า เปิดตัวเมื่อปีที่แล้ว “นั่นเป็นเพราะข้อมูลอันมีค่าบนเซิร์ฟเวอร์เหล่านี้มีจำนวนเพิ่มมากขึ้น ใช้ประโยชน์จากช่องโหว่ที่ส่งผลกระทบต่อพวกเขาการเข้าถึงอินเทอร์เน็ตบ่อยครั้ง และความยากลำบากในการใช้มาตรการรักษาความปลอดภัย เช่น การตรวจจับและการตอบสนองปลายทาง (EDR) บนอุปกรณ์เหล่านี้ ESXi เป็นเป้าหมายที่ให้ผลตอบแทนสูงสำหรับผู้โจมตีเนื่องจากมีโฮสต์ VM หลายตัว ทำให้ผู้โจมตีสามารถติดตั้งมัลแวร์ได้เพียงครั้งเดียวและเข้ารหัสเซิร์ฟเวอร์จำนวนมากด้วยคำสั่งเดียว”
วีเอ็มแวร์มี คำแนะนำสำหรับการรักษาความปลอดภัย EXSi สภาพแวดล้อม คำแนะนำเฉพาะ ได้แก่: ตรวจสอบให้แน่ใจว่าซอฟต์แวร์ ESXi ได้รับการติดตั้งและเป็นปัจจุบัน ทำให้รหัสผ่านแข็งขึ้น ลบเซิร์ฟเวอร์ออกจากอินเทอร์เน็ต ตรวจสอบกิจกรรมที่ผิดปกติบนการรับส่งข้อมูลเครือข่ายและบนเซิร์ฟเวอร์ ESXi และตรวจสอบให้แน่ใจว่ามีการสำรองข้อมูลของ VM นอกสภาพแวดล้อม ESXi เพื่อเปิดใช้งานการกู้คืน
- เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
- PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
- เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
- เพลโตESG. คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
- เพลโตสุขภาพ เทคโนโลยีชีวภาพและข่าวกรองการทดลองทางคลินิก เข้าถึงได้ที่นี่.
- ที่มา: https://www.darkreading.com/threat-intelligence/sexi-ransomware-desires-vmware-hypervisors
- :มี
- :เป็น
- :ไม่
- :ที่ไหน
- $ ขึ้น
- 23
- 26%
- 7
- 8
- 9
- a
- ผิดปกติ
- เกี่ยวกับเรา
- เข้า
- ตาม
- ลงชื่อเข้าใช้
- กิจกรรม
- นักแสดง
- น่าสงสาร
- แอฟริกา
- หลังจาก
- อีกครั้ง
- มาแล้ว
- ทั้งหมด
- การอนุญาต
- แล้ว
- อเมริกัน
- an
- และ
- ไม่เปิดเผยชื่อ
- ใด
- app
- ปรากฏ
- การใช้งาน
- เป็น
- AS
- At
- โจมตี
- การโจมตี
- กลับ
- การสำรองข้อมูล
- ตาม
- BE
- เพราะ
- รับ
- กำลัง
- เชื่อ
- BIN
- ช่องโหว่
- ที่กว้างขึ้น
- แต่
- by
- โทรศัพท์
- โทร
- รณรงค์
- CAN
- ศูนย์
- ผู้บริหารสูงสุด
- ชิลี
- สาธารณรัฐประชาชนจีน
- ทางเลือก
- รหัส
- มา
- การสื่อสาร
- บริษัท
- ประนีประนอม
- ความลับ
- ยืนยัน
- การบริจาค
- ไทม์ไลน์การ
- ประเทศ
- สี่แยก
- cybersecurity
- ข้อมูล
- ศูนย์ข้อมูล
- วัน
- ปรับใช้
- ความปรารถนา
- การตรวจพบ
- พัฒนาการ
- อุปกรณ์
- ความยาก
- ค้นพบ
- doesn
- สวม
- ดาวน์โหลด
- ขนานนามว่า
- ก่อน
- ออกมา
- โผล่ออกมา
- ภาวะฉุกเฉิน
- กากกะรุน
- เน้น
- ทำให้สามารถ
- การเข้ารหัสลับ
- ที่มีการเข้ารหัส
- จบสิ้น
- ปลายทาง
- ทำให้มั่นใจ
- เอกลักษณ์
- สิ่งแวดล้อม
- สภาพแวดล้อม
- Equinix
- แม้
- ที่เปิดเผย
- การเปิดรับ
- นามสกุล
- กุมภาพันธ์
- เนื้อไม่มีมัน
- ผลการวิจัย
- ชื่อจริง
- สำหรับ
- เสือป่า
- บ่อย
- สด
- ราคาเริ่มต้นที่
- ต่อไป
- แก๊ง
- ยิ่งใหญ่
- การเจริญเติบโต
- ความสนใจเพิ่มขึ้น
- มี
- จัดการ
- มี
- he
- ตี
- เจ้าภาพ
- โฮสติ้ง
- เจ้าภาพ
- HTML
- HTTPS
- i
- การดำเนินการ
- in
- ประกอบด้วย
- รวมทั้ง
- ชาวอินเดีย
- แสดงว่า
- การแสดง
- แรกเริ่ม
- ด่วน
- ความตั้งใจ
- อยากเรียนรู้
- น่าสนใจ
- ภายใน
- อินเทอร์เน็ต
- เข้าไป
- เกาะ
- ทุนที่ออก
- IT
- ซ้ำ
- ITS
- ตัวเอง
- jpg
- ชื่อสกุล
- ปีที่แล้ว
- ปลาย
- ละติน
- ละตินอเมริกา
- นำ
- น้อยที่สุด
- ที่เชื่อมโยง
- ลินุกซ์
- ที่ตั้งอยู่
- ล็อค
- เครื่อง
- สำคัญ
- ทำ
- ที่เป็นอันตราย
- มัลแวร์
- มีนาคม
- อาจจะ
- มาตรการ
- กล่าวถึง
- ข่าวสาร
- ส่งข้อความ
- วิธี
- เม็กซิโก
- ล้าน
- การตรวจสอบ
- มากที่สุด
- หลาย
- ชื่อ
- เครือข่าย
- การรับส่งข้อมูลเครือข่าย
- ใหม่
- ไม่
- หมายเหตุ
- นวนิยาย
- ตอนนี้
- จำนวน
- มากมาย
- มหาสมุทร
- of
- เก่ากว่า
- on
- ครั้งเดียว
- ONE
- ผู้ประกอบการ
- or
- OS
- อื่นๆ
- ออก
- ด้านนอก
- เกิน
- ต้องจ่าย
- ส่วนหนึ่ง
- รหัสผ่าน
- เปรู
- สถานที่
- เวที
- เพลโต
- เพลโตดาต้าอินเทลลิเจนซ์
- เพลโตดาต้า
- เล่น
- กด
- ขั้นตอน
- ค่าไถ่
- ransomware
- แรนซัมแวร์โจมตี
- ผื่น
- การฟื้นตัว
- ลงทะเบียน
- ที่เกี่ยวข้อง
- ความสัมพันธ์
- การเผยแพร่
- จำ
- เอาออก
- รายงาน
- สาธารณรัฐ
- นักวิจัย
- คำตอบ
- กฎ
- วิ่ง
- ทำงาน
- s
- ค้นหา
- การรักษา
- ความปลอดภัย
- มาตรการรักษาความปลอดภัย
- เห็น
- เห็น
- ส่ง
- เซิร์ฟเวอร์
- เซสชั่น
- ชุด
- หลาย
- แสดง
- ตั้งแต่
- เดียว
- ขนาด
- ช้า
- ซอฟต์แวร์
- บาง
- แหล่ง
- ภาคใต้
- แอฟริกาใต้
- โดยเฉพาะ
- ที่ระบุไว้
- ยืน
- คำแถลง
- อย่างเช่น
- สนับสนุน
- แน่ใจ
- พื้นผิว
- กลยุทธ์
- ไต้หวัน
- เอา
- เป้า
- เทคนิค
- เมตริกซ์
- ไทย
- ประเทศไทย
- ที่
- พื้นที่
- ของพวกเขา
- พวกเขา
- ตัวเอง
- แล้วก็
- ที่นั่น
- ล้อยางขัดเหล่านี้ติดตั้งบนแกน XNUMX (มม.) ผลิตภัณฑ์นี้ถูกผลิตในหลายรูปทรง และหลากหลายเบอร์ความแน่นหนาของปริมาณอนุภาคขัดของมัน จะทำให้ท่านได้รับประสิทธิภาพสูงในการขัดและการใช้งานที่ยาวนาน
- ของบุคคลที่สาม
- นี้
- โทมัส
- เหล่านั้น
- พัน
- การคุกคาม
- ตัวแสดงภัยคุกคาม
- สาม
- เวลา
- ไปยัง
- การจราจร
- แนวโน้ม
- สอง
- เปิด
- ไม่ทราบ
- ทันเหตุการณ์
- อัปโหลด
- กระตุ้น
- มือสอง
- ผู้ใช้งาน
- การใช้
- มีคุณค่า
- ตัวแปร
- ต่างๆ
- Ve
- ผู้ขาย
- รุ่น
- รุ่น
- เสมือน
- VMware
- ช่องโหว่
- คือ
- อะไร
- เมื่อ
- ที่
- ในขณะที่
- WHO
- กว้าง
- จะ
- กับ
- ไม่มี
- คุ้มค่า
- จะ
- X
- ปี
- ปี
- ยัง
- ลมทะเล
- เป็นศูนย์