Kritik Altyapı Güvenliği , Siber Suçlar , Hizmet Olarak Siber Suçlar
Araştırmacılar, Saldırganın Blok Çözme Geçici Çözümünü ve Takibini Güncellediğini Uyardı
Mathew J. Schwartz (euroinfosec) •
9 Şubat 2023
Sanal makineleri zorla şifrelemek için yama uygulanmamış VMware ESXi hipervizörlerini hedefleyen saldırganların, kurbanların dosyaların şifresini çözmek için ücretsiz kurtarma araçlarını kullanmasını zorlaştırmak için fidye yazılımlarını değiştirdikleri bildirildi.
Ayrıca bakınız: Canlı Web Semineri | Çok Faktörlü Kimlik Doğrulamayı Hackleme: Bir BT Uzmanının 150 MFA Ürününü Test Ettikten Sonra Öğrendiği Dersler
Saldırı kampanyası, 2.800’den fazla ana bilgisayarı ve bu ana bilgisayarlarda çalışan bilinmeyen sayıda sanal makineyi zorla şifrelemek için VMware tarafından ESXiArgs olarak adlandırılan fidye yazılımını zaten kullandı.
Güvenlik uzmanları, tüm ESXi kullanıcılarına tavsiye ettikleri, OpenSLP yığın taşması güvenlik açığına (CVE-2021-21974) karşı yama uygulanmamış sunucuların istismar edilmesi ve saldırganların IP adreslerinin engellenmesi dahil olmak üzere bir dizi savunmayı ayrıntılı olarak açıkladı. taramalar yapılıyor (bkz: Fidye Yazılımı: ESXiArgs Kampanyası En Az 2.803 Kurbanı Kaptı).
Ancak ilk olarak Çarşamba günü görülen yeni bir saldırı dalgasıyla, ESXiArgs kullanan saldırganlar, kurbanların kolayca kurtarılmasını zorlaştırmak için fidye yazılımını değiştirmiş gibi görünüyor. Değişiklik ilk olarak, forumları aracılığıyla kurbanlara özel destek sunan Bleeping Computer tarafından bildirildi.
Fidye yazılımı avcısı Michael Gillespie (@demonslay335), ücretsiz ID Fidye Yazılımı tanımlama hizmetinin kurucusu Bleeping Computer, fidye yazılımının daha önce yaptığı gibi büyük dosyaların çok küçük parçalarını şifreleyerek kurtarılmasını kolaylaştırması yerine, “128 MB’ın üzerindeki tüm dosyaların artık kendi alanlarının %50’sine sahip olacağını” bildirdi. veriler şifrelenmiş, bu da onları muhtemelen kurtarılamaz hale getiriyor.”
Saldırganlar ayrıca kripto para cüzdan adreslerini fidye notlarından kaldırdılar. M-cüzdan adresleri, fidye ödemeyi tercih eden fidye yazılımı kurbanlarına şifre çözme anahtarı vaadi karşılığında Bitcoin’lerini göndermeleri talimatının verildiği yerdir. Artık kurbanlara, ödemeleri için kullanılacak bir kripto para birimi cüzdan adresi almaları için eşler arası, uçtan uca şifreli bir anlık mesajlaşma protokolü olan Tox aracılığıyla saldırganlarla iletişim kurmaları talimatı veriliyor.
Araştırmacılar, daha önce her farklı fidye notunda bulunan benzersiz kripto para cüzdan adresini kullanarak 2.800’den fazla VMware ESXi ana bilgisayarının zorla şifrelendiğini sayabildiler. Saldırganlar bu adresleri kaldırarak araştırmacıların, müdahale ekiplerinin ve kolluk kuvvetlerinin kampanyanın ciddiyetini takip etme çabalarını zorlaştıracaktır.
Potansiyel Olarak Risk Altında Olan Daha Birçok Sistem
Londra merkezli Xservus Limited’de bir siber uzman olan Daniel Card, “Bir öncekiyle aynı güvenlik açığından muzdarip olmayan yeni şifreleme rutini” nedeniyle, BT ekipleri “bunun dağınık olmasını beklemeli” diyor. LinkedIn gönderisi.
Bugüne kadarki önem açısından, saldırganların şu ana kadar şifrelediği sanal makinelerin veya VM’lerin sayısı belirsizliğini koruyor. “Genellikle bir ESXi ana bilgisayarı 5 ila 20 sanal makine tutar” diyor. “Her birinde 5 sanal makine bulunan 2.000 ana bilgisayarda bile bu çok fazla sanal makine demektir.” Ayrıca, 2.803’ten fazla ana bilgisayara virüs bulaşmış olabilir.
Card, Shodan taramalarını kullanarak, internete maruz kalan yaklaşık 70.000 ESXi ana bilgisayarını saydı ve bunların yaklaşık 60.000’i, teoride SLP’nin etkinleştirilmesi gerekmesine rağmen, istismara karşı savunmasız olduğundan “şüphelenilen” sürümlerin bir listesiyle eşleşiyor.
Saldırganlar, görünüşte savunmasız sürümleri çalıştıran ESXi ana bilgisayarlarını kataloglamak için kullanarak aynı taramaları yapacak, ardından 427 numaralı TCP bağlantı noktasında SLP’nin etkinleştirilip etkinleştirilmediğini görmek için doğrudan bağlantı noktalarını tarayacak, Card raporları. Bu bağlantı noktasında UDP’nin etkinleştirilmesinin de açıklardan yararlanmayı kolaylaştırabileceğini söylüyor.
Saldırganların açıktan yararlanmayı başarılı bir şekilde kullanabilmesi için hizmet konumu protokolü için OpenSLP’nin etkinleştirilip etkinleştirilmeyeceği açık bir soru olmaya devam ediyor. Bleeping Computer, saldırı kampanyasının bir kurbanının, ESXi dağıtımlarında SLP’nin etkinleştirilmemiş olmasına rağmen vurulmuş göründüğünü bildiriyor.
Kullanılan yeni ESXiArgs fidye yazılımı dalgasında yapılan değişikliklere rağmen, güvenlik uzmanları, kurbanların işe yaramaları ihtimaline karşı önceden ayrıntılı kurtarma tekniklerini kullanmaya devam etmelerini tavsiye ediyor.
Kurtarma teknikleri, çoğu zaman sanal disklerin yalnızca küçük parçalarını şifreleyen fidye yazılımının ilk sürümünü temel alır. “Virüs küçük dosyaları şifreler” – örneğin .vmdk Ve server-flat.vmdk Türk perakendeci Yöre Group ile çalışan güvenlik araştırmacıları Enes Sönmez ve Ahmet Aykaç’a göre.
“ESXi yapısında, gerçek veriler tutulur flat.vmdk,” diye ekledi araştırmacılar, bu düz dosyanın bazen – her zaman değil – sanal diskleri geri yüklemek için nasıl şifre çözücüye gerek kalmadan kullanılabileceğini ayrıntılarıyla eklediler. Araştırmalarına dayanarak, ABD Siber Güvenlik ve Altyapı Güvenliği Dairesi daha sonra, işlem.
Card, saldırganların ilk şifreleme taktiklerinin, fidye yazılımı suç dehaları olmadıklarını gösterdiğini söylüyor. “Gördüğüm verilere göre bu, neredeyse kesinlikle düşük vasıflı bir siber suç tehdit aktörü veya tehdit aktörü grubu” diyor. “Bununla biraz abarttılar; bence etki çok daha kötü olabilirdi.”
Ancak, fidye yazılımlarında tipik olarak olduğu gibi, araştırmacılar bir güvenlik açığını veya eksikliği tespit edip kamuoyuna duyurunca, saldırganlar genellikle kârlarını en üst düzeye çıkarmak için kötü amaçlı kodlarını hızla günceller. ESXiArgs kampanyası devam ederken, saldırganların devam eden iyileştirmeleri de devam ediyor.