VMware ESXi bulut sunucularını hedef alan fidye yazılımı etkinliği, bir fidye yazılımı çılgınlığı patlak verdi bu ay, binlerce sunucuyu etkileyen, Kaydedilmiş Gelecek araştırması Pazartesi bulundu.
2020’de ESXi’yi fidye yazılımıyla yalnızca iki siber saldırı hedef aldı, ancak 2021’de Recorded Future’da 400’den fazla olay tespit edildi. Araştırmaya göre, geçen yıl bu sayı neredeyse üç kat artarak 2022’de 1.118’e yükseldi.
ALPHV, LockBit ve BlackBasta dahil olmak üzere birden fazla gruptan fidye yazılımı yük teklifleri gözlemlendi.
Araştırma, VMware ESXi kullanan kuruluşlar arasında ek riskler oluşturan fidye yazılımı etkinliğindeki tutarlı artışın ve kör noktaların altını çiziyor.
VMware, Recorded Future’ın araştırması hakkında yorum yapmayı reddetti ve kuruluşlara şu anda bilinen güvenlik açıklarını gidermek için bileşenlerin en son sürümlerine yükseltme yapmalarını tavsiye etti.
Sunucu sanallaştırması için hipervizör yazılımını etkileyen fidye yazılımı tehdidi, bu ay ESXiArgs fidye yazılımını göreceli olarak kullanarak binlerce makineye yaymaya başladığından büyük ilgi gördü. sofistike olmayan araçlar.
A ESXiArgs fidye yazılımının yeni çeşidi8 Şubat’ta ortaya çıkan 1.250’den fazla VMware sunucusuna bulaştı. Sunucuların birçoğu orijinal suştan sonra yeniden enfekte oldu ve 5 canlı enfeksiyondan 4’ünden fazlasını temsil ediyordu.
Kötü amaçlı yazılımda yapılan küçük bir değişiklik, verileri daha etkili bir şekilde şifrelemesine ve veri kurtarmayı önlemesine olanak sağladı.
Recorded Future’da kıdemli araştırma direktörü ve raporun baş analisti olan Lindsay Kaye, “Yaklaşık bir hafta öncesine kadar hepimiz bundan süper jenerik ve varsayımsal olarak bahsediyorduk ve sonra ESXiArgs’ı görmeye başladık” dedi.
Kaye, Cybersecurity Dive’a şunları söyledi:
- Sanallaştırma artıyor ve güvenlik açıkları da artıyor, ancak örneğin ESXi, Windows ile aynı düzeyde koruma ve savunmaya sahip değil.
- Windows için virüsten koruma ve uç nokta algılama ve yanıt araçları kapsamlıdır, ancak ESXi gibi hipervizörler için “gelişmekte olan aşamadan” daha fazla ürün yoktur.
- ESXi’deki tehdit avlama komutları da ortak sistem yöneticisi işlemleriyle benzerlikler paylaşarak normal ve kötü amaçlı etkinlik arasındaki çizgiyi bulanıklaştırır.
Ayrıca ESXi’nin kuruluşlar için oynadığı rol konusu da var. Pek çok senaryo, kritik işlevleri sürdürmek için ESXi sistemlerinin sürekli çalışmasını gerektirir; bu da kuruluşların başka sorunlara neden olabilecek güncellemeleri veya yamaları uygularken tereddüt etmesine neden olabilir.
VMware ürünlerindeki kritik güvenlik açıkları, tekrarlayan sorun. Recorded Future’daki tehdit araştırma grubu, son altı ayda VMware ürünlerini etkileyen yedi yüksek riskli güvenlik açığını vurguladı.
Recorded Future raporda, güvenlik açığından yararlanma, tehdit aktörleri tarafından ilk erişim elde etmek için kullanılan yaygın bir taktik olsa da, birçok kötü niyetli aktörün bazı VMware ortamlarına erişim elde etmek için yalnızca sistem yöneticisi notlarına, depolanan parolalara veya keylogging’e güvendiğini söyledi.
Raporda, “Sanallaştırılmış altyapıyı güvence altına alma uygulaması, teknolojinin tescilli doğası ve bunun için tasarlanan savunma ürünlerinin görece emekleme döneminden dolayı karmaşıktır” denildi. “Bu faktörlerin bir sonucu olarak ESXi, finansal olarak motive olmuş tehdit aktörleri için son derece çekici bir hedef sunuyor.”