Fransız Bilgisayar Acil Durum Müdahale Ekibi (CERT-FR), yöneticiler ve barındırma sağlayıcıları CERT-FR, keşfedilen ESXiArgs adlı yeni fidye yazılımı hakkında bir uyarı yayınladı.
Bu güvenlik açığı, saldırganların etkilenen sunucular ve bunlarda depolanan veriler için ciddi sonuçları olabilecek ESXiArgs fidye yazılımını dağıtmasına olanak tanır.
Bu tür saldırıları önlemek için yöneticilerin ve barındırma sağlayıcılarının VMware ESXi sunucularının yamalanmış ve güncel olduğundan emin olmaları önemlidir.
Tanımlanan Davranışlar
- Güvenlik analistleri, tehlike vektörünün CVE-2021-21974 olabilecek bir OpenSLP güvenlik açığına dayandığını belirlediler.
- Kötü amaçlı yazılım, verilerini şifrelemek için /tmp/public.pem’de bir genel anahtar dağıtır.
- Şifreleme işlemi özellikle sanal makinelerdeki dosyaları hedefler.
- Kötü amaçlı yazılım, sanal makinelerdeki dosyaların engellemesini kaldırmak amacıyla sanal makineleri kapatmak için VMX sürecini öldürür.
- Argsfiles, kötü amaçlı yazılım tarafından, şifrelenmiş ikili dosyaya parametre olarak iletilen bağımsız değişkenleri depolamak için oluşturulur.
- Veriler hiçbir şekilde dışarı sızmadı.
Yeni ESXiArgs fidye yazılımı
Son zamanlarda, güvenlik uzmanlarının dikkatini çeken yeni bir fidye yazılımı saldırısı oldu. Saldırganların geride bıraktıkları fidye notları incelendiğinde, bu saldırının Nevada Ransomware ile ilgili görünmediği belirlendi.
Bunun yerine, fidye notları tamamen farklı veya “yeni” bir fidye yazılımı ailesinden geliyor gibi görünüyor. Bu keşif, siber tehditlerin sürekli gelişen doğasını ve sürekli tetikte olma ve güvenlik önlemlerine yönelik güncellemeler ihtiyacını vurgulamaktadır.
Kapsamlı bir inceleme yaptıktan sonra analist, söz konusu verilerin sızmadığını belirledi. Soruşturma, yalnızca 2 Mbps’lik tipik günlük kullanım gösteren, üzerinde 500 GB’tan fazla veri depolanan bir makineye yapılan bir saldırıyla başlatıldı.
Analist, bu sonucu doğrulamak için son 90 güne ait trafik istatistiklerini de gözden geçirdi. Herhangi bir giden veri aktarımına dair kanıt bulunamadı.
Kurbanların kilitli sistemlerde “ransom.html” ve “How to Restore Your Files.html” isimli fidye notları bulduklarına dair raporlar da var.
CVE-2021-21974’ten etkilenen sistemler
CVE-2021-21974’ten etkilenen bir dizi sistem vardır:
- ESXi70U1c-17325551’den önceki ESXi sürümleri 7.x
- ESXi670-202102401-SG’den önceki ESXi sürümleri 6.7.x
- ESXi650-202102101-SG’den önceki ESXi sürümleri 6.5.x
ESXiArgs Teknik Detayları
Komut dosyasını ve şifreleme şifreleyicisini analiz etmenin bir sonucu olarak, saldırılar hakkında daha derin bir anlayış kazandık. Sunucu saldırıya uğradığında /tmp klasöründe depolanan birkaç dosya vardır:-
- şifrelemek – Şifreleyici ELF çalıştırılabilir.
- şifrelemek[.]sh – Bir şifreleyicinin yürütülmesinden önce çeşitli görevleri gerçekleştiren ve saldırı mantığı görevi gören kabuk betikleri.
- halk[.]pem – Bir dosyayı şifrelemek için kullanılan anahtar, genel bir RSA anahtarıdır.
- motd – Metin biçimindeki fidye notu /etc/motd dizinine kopyalanacak, böylece girişte gösterilecektir. Sunucunun orijinal dosyası /etc/motd1.conf konumuna kopyalanacaktır.
- dizin[.]html -ESXi’nin ana sayfası, HTML biçimindeki fidye notu ile değiştirilecektir. Aynı klasörde, index1.html sunucunun orijinal dosyasından kopyalanacaktır.
Bu güvenlik ihlali, düzinelerce İtalya kuruluşunu etkiledi ve diğerleri arasında endişe yarattı. Olay, bu kuruluşları sistemlerinden kilitleme tehdidi içeriyordu ve birçoğunun zaten etkilenmiş olması muhtemeldir.
Bu duruma cevaben, daha birçok kuruluş bu saldırıya kurban gitmemek için harekete geçmeleri konusunda uyarıldı. Bu olayın yaygın doğası, gelecekte benzer tehditlere karşı korunmak için güçlü güvenlik önlemleri almanın önemini vurguladı.
Ağ Güvenliği Kontrol Listesi – Ücretsiz E-Kitap İndirin