Babuk fidye yazılımının yeni bir çeşidi gibi görünen şey, Şilili bir veri merkezi barındırma şirketi olan IxMetro PowerHost'a isabet ettiği doğrulananlar da dahil olmak üzere birçok ülkedeki VMware ESXi sunucularına saldırmak üzere ortaya çıktı. Varyant, kendisini hedef platformunda bir oyun olan "SEXi" olarak adlandırıyor.
CronUp siber güvenlik araştırmacısına göre Alman FernandezPowerHost CEO'su Ricardo Rubem, yeni bir fidye yazılımı çeşidinin şirketin sunucularını .SEXi dosya uzantısını kullanarak kilitlediğini ve iç ağa ilk erişim vektörünün henüz bilinmediğini doğrulayan bir bildiri yayınladı. Saldırganlar 140 milyon dolar fidye talep ederken Rubem bunun ödenmeyeceğini belirtti.
SEXi'nin ortaya çıkışı iki büyük fidye yazılımı eğiliminin kavşağında duruyor: Babuk kaynak kodunu temel alan kötü amaçlı yazılım geliştirdi; ve baştan çıkarıcı derecede sulu VMware EXSi sunucularından ödün verme arzusu.
IX PowerHost Saldırısı Daha Geniş Fidye Yazılımı Kampanyasının Bir Parçası
Bu arada, Equinix'teki CTI araştırmacısı Will Thomas, saldırıda kullanılanla ilgili olduğuna inandığı, "LIMPOPOx32.bin" adlı ve VirusTotal'da Babuk'un Linux sürümü olarak etiketlenen bir ikili dosyayı ortaya çıkardı. Basın zamanında, kötü amaçlı yazılımın %53 tespit oranına sahip olduğu VT'de, 34 Şubat'ta ilk kez yüklendiğinden bu yana 64 güvenlik sağlayıcısından 8'ü onu kötü amaçlı olarak işaretliyor. onu fark ettim Sevgililer Günü'nde, Tayland'da bir kuruluşa düzenlenen saldırıda "SEXi" kolu olmadan kullanıldığı zaman.
Ancak Thomas ayrıca bağlantılı diğer ikili dosyaları da keşfetti. O gibi tweeted, "IXMETRO POWERHOST'a yönelik SEXi fidye yazılımı saldırısı, en az üç Latin Amerika ülkesini etkileyen daha geniş bir kampanyayla bağlantılı." Bunlar kendilerine Sokotra adını veriyor (23 Mart'ta Şili'de düzenlenen saldırıda kullanılmış); Yine Limpopo (9 Şubat'ta Peru'da düzenlenen saldırıda kullanıldı); ve Formosa (26 Şubat'ta Meksika'da düzenlenen saldırıda kullanıldı). İlgili olarak, bu yazının yazıldığı sırada VT'de kayıtlı üç sıfır tespitinin tümü.
Bulgular hep birlikte, tamamı Babuk'a uzanan çeşitli SEXi yinelemelerini kullanan yeni bir kampanyanın gelişimini gösteriyor.
SEXi Saldırılarında Gölgeli TTP'ler Ortaya Çıkıyor
Kötü amaçlı yazılım operatörlerinin nereden geldiğine veya niyetlerinin ne olduğuna dair hiçbir gösterge yok. Ancak yavaş yavaş bir dizi taktik, teknik ve prosedür ortaya çıkıyor. Birincisi, ikili dosyaların terminolojisi yer adlarından gelir. Limpopo, Güney Afrika'nın en kuzeydeki eyaletidir; Sokotra, Hint Okyanusu'nda bir Yemen adasıdır; Formosa, Çin'in Qing Hanedanlığı'nın ada üzerindeki egemenliğini bırakmasının ardından 1800'lerin sonlarında Tayvan'da bulunan kısa ömürlü bir cumhuriyetti.
Ve MalwareHunterTeam'in X hakkında belirttiği gibi, “bu 'SEXi' fidye yazılımı hakkında ilginç olabilir / bahsetmeye değer olabilir; notta aktörler tarafından belirtilen iletişim yönteminin Session olmasıdır. Yıllar önce bile bazı aktörlerin bunu kullandığını görmüş olsak da, bunu herhangi bir büyük/ciddi vaka/aktörle ilişkili olarak gördüğümü hatırlamıyorum.”
Session, kullanıcı gizliliğini ve anonimliğini vurgulayan, platformlar arası, uçtan uca şifrelenmiş bir anlık mesajlaşma uygulamasıdır. IX PowerHost saldırısındaki fidye notu, şirketi uygulamayı indirmeye ve ardından "SEXi" kodunu içeren bir mesaj göndermeye teşvik ediyordu; Tayland saldırısındaki önceki notta Oturumun indirilmesi ancak "Limpopo" kodunun eklenmesi yönünde çağrıda bulunuluyordu.
EXSi Siber Saldırganlar İçin Seksi
VMware'in EXSi hipervizör platformu, Linux ve Linux benzeri işletim sistemi üzerinde çalışır ve birden fazla, veri açısından zengin sanal makineyi (VM'ler) barındırabilir. Bu bir fidye yazılımı aktörlerinin popüler hedefi Yıllardır kısmen saldırı yüzeyinin büyüklüğünden dolayı: Shodan araştırmasına göre İnternet'e açık on binlerce ESXi sunucusu var ve bunların çoğu eski sürümleri çalıştırıyor. Ve bu, bir kurumsal ağa ilk erişim ihlali sonrasında erişilebilenleri hesaba katmıyor.
Ayrıca katkıda bulunmak fidye yazılımı çetelerinin EXSi'ye ilgisi artıyorplatform herhangi bir üçüncü taraf güvenlik aracını desteklemez.
tarafından hazırlanan bir rapora göre, "ESXi sunucuları gibi yönetilmeyen cihazlar, fidye yazılımı tehdit aktörleri için büyük bir hedeftir." Öncü geçen yıl piyasaya sürüldü. "Bunun nedeni, bu sunuculardaki değerli veriler nedeniyle, giderek artan sayıda onları etkileyen güvenlik açıklarından yararlanıldıİnternete sık sık maruz kalmaları ve bu cihazlarda uç nokta algılama ve yanıt (EDR) gibi güvenlik önlemlerini uygulamanın zorluğu. ESXi, birden fazla VM'yi barındırdığı için saldırganlar için yüksek verimli bir hedef; saldırganların kötü amaçlı yazılımı bir kez dağıtmasına ve tek bir komutla çok sayıda sunucuyu şifrelemesine olanak tanıyor."
VMware'in bir özelliği var EXSi'yi güvence altına almak için kılavuz ortamlar. Özel öneriler şunları içerir: ESXi yazılımının yamalanmış ve güncel olduğundan emin olun; şifreleri sertleştirmek; sunucuları İnternet'ten kaldırmak; ağ trafiğinde ve ESXi sunucularında anormal etkinlikleri izlemek; ve kurtarmayı etkinleştirmek için ESXi ortamı dışında VM'lerin yedeklerinin bulunduğundan emin olun.
- SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
- PlatoData.Network Dikey Üretken Yapay Zeka. Kendine güç ver. Buradan Erişin.
- PlatoAiStream. Web3 Zekası. Bilgi Genişletildi. Buradan Erişin.
- PlatoESG. karbon, temiz teknoloji, Enerji, Çevre, Güneş, Atık Yönetimi. Buradan Erişin.
- PlatoSağlık. Biyoteknoloji ve Klinik Araştırmalar Zekası. Buradan Erişin.
- Kaynak: https://www.darkreading.com/threat-intelligence/sexi-ransomware-desires-vmware-hypervisors
- :vardır
- :dır-dir
- :olumsuzluk
- :Neresi
- $UP
- 23
- %26
- 7
- 8
- 9
- a
- Anormal
- Hakkımızda
- erişim
- Göre
- Hesap
- faaliyetler
- aktörler
- etkileyen
- Afrika
- Sonra
- tekrar
- önce
- Türkiye
- Izin
- zaten
- Amerikan
- an
- ve
- anonimlik
- herhangi
- uygulamayı yükleyeceğiz
- belirir
- Uygulama
- ARE
- AS
- At
- saldırı
- saldırılar
- Arka
- yedekleme
- merkezli
- BE
- Çünkü
- olmuştur
- olmak
- inanıyor
- BIN
- ihlal
- Daha geniş
- fakat
- by
- çağrı
- aramalar
- Kampanya
- CAN
- Merkez
- ceo
- Şili
- Çin
- seçim
- kod
- geliyor
- Yakın İletişim
- şirket
- ödün
- gizlilik
- ONAYLANDI
- katkıda
- Kurumsal
- ülkeler
- Kavşak
- Siber güvenlik
- veri
- Veri Merkezi
- gün
- dağıtmak
- arzuları
- Bulma
- gelişme
- Cihaz
- Zorluk
- keşfetti
- gelmez
- don
- indir
- dublajlı
- Daha erken
- çıkmak
- ortaya
- çıkma
- ortaya çıkan
- vurgulayan
- etkinleştirmek
- şifrelemek
- şifreli
- son uca
- Son nokta
- sağlamak
- varlık
- çevre
- ortamları
- EQUINIX
- Hatta
- maruz
- Maruz kalma
- uzatma
- Şubat ayında
- fileto
- bulgular
- Ad
- İçin
- Öncü
- sık
- taze
- itibaren
- daha fazla
- Çeteler
- harika
- Büyüyen
- artan ilgi
- vardı
- sap
- Var
- he
- vurmak
- ev sahibi
- hosting
- ana
- HTML
- HTTPS
- i
- uygulanması
- in
- dahil
- Dahil olmak üzere
- Hintli
- belirtilen
- belirti
- ilk
- anlık
- niyetlerini
- faiz
- ilginç
- iç
- Internet
- içine
- ada
- Veriliş
- IT
- yineleme
- ONUN
- kendisi
- jpg
- Soyad
- Geçen yıl
- Geç
- Latince
- Latin Amerika
- öncülük etmek
- en az
- bağlantılı
- linux
- bulunan
- kilitli
- Makineler
- büyük
- yapmak
- kötü niyetli
- kötü amaçlı yazılım
- Mart
- olabilir
- önlemler
- anma
- mesaj
- mesajlaşma
- yöntem
- Meksika
- milyon
- izlemek
- çoğu
- çoklu
- isimleri
- ağ
- ağ trafiği
- yeni
- yok hayır
- notlar
- roman
- şimdi
- numara
- sayısız
- okyanus
- of
- büyük
- on
- bir Zamanlar
- ONE
- operatörler
- or
- OS
- Diğer
- dışarı
- dışında
- tekrar
- ödenmiş
- Bölüm
- şifreleri
- peru
- yer
- platform
- Platon
- Plato Veri Zekası
- PlatoVeri
- OYNA
- basın
- prosedürler
- Fidye
- fidye
- Fidye Yazılımı Saldırısı
- isilik
- kurtarma
- kayıtlı
- ilgili
- ilişki
- serbest
- hatırlamak
- Kaldır
- rapor
- cumhuriyet
- araştırmacı
- yanıt
- Kural
- koşu
- ishal
- s
- Ara
- sabitleme
- güvenlik
- Güvenlik Önlemleri
- görme
- görüldü
- göndermek
- Sunucular
- Oturum
- set
- birkaç
- vitrin
- beri
- tek
- beden
- Yavaş yavaş
- Yazılım
- biraz
- Kaynak
- güney
- Güney Afrika
- özel
- Belirtilen
- standları
- Açıklama
- böyle
- destek
- elbette
- yüzey
- taktik
- Tayvan
- Bizi daha iyi tanımak için
- Hedef
- teknikleri
- onlarca
- Tayland
- Neler Yapılabilir?
- o
- The
- ve bazı Asya
- Onları
- kendilerini
- sonra
- Orada.
- Bunlar
- üçüncü şahıslara ait
- Re-Tweet
- thomas
- Bu
- Binlerce
- tehdit
- tehdit aktörleri
- üç
- zaman
- için
- trafik
- Trendler
- iki
- açık
- bilinmeyen
- aktüel
- Yüklenen
- çağırdı
- Kullanılmış
- kullanıcı
- kullanma
- Değerli
- Varyant
- çeşitli
- Ve
- satıcıları
- versiyon
- sürümler
- Sanal
- vmware
- güvenlik açıkları
- oldu
- Ne
- ne zaman
- hangi
- süre
- DSÖ
- Daha geniş
- irade
- ile
- olmadan
- değer
- olur
- X
- yıl
- yıl
- henüz
- zefirnet
- sıfır