Bilgisayar korsanları, kurumsal ortamlarda sanallaştırılmış altyapıyı yönetmek için yaygın olarak kullanıldıkları ve onları kazançlı hedefler haline getirdiği için ESXi sistemlerine sıklıkla saldırır.
Tehdit aktörleri, fidye yazılımı dağıtmak ve diğer kötü amaçlı etkinlikleri gerçekleştirmek için ESXi’deki güvenlik kusurlarından yararlanabilir ve bu da etkilenen kuruluşlar üzerindeki etkiyi önemli ölçüde artırabilir.
Recorded Future yakın zamanda RansomHub’un yeni bir Linux versiyonunun ESXi sistemlerine aktif olarak saldırdığını keşfetti.
Free Webinar on API vulnerability scanning for OWASP API Top 10 vulnerabilities -> Book Your Spot
RansomHub ESXi Sistemlerine Saldırıyor
RansomHub, Şubat 2024’te faaliyete geçen bir RaaS platformudur; Go ve C++ ile yazılmış kötü amaçlı yazılımlarla çeşitli işletim sistemlerine saldırır.
Bu, deneyimli bağlı kuruluşları cezbeden %90 komisyon ödüyor ve 18 ülkedeki BT departmanlarından 45 mağdura yol açıyor.
Fidye yazılımı ile ALPHV ve Knight Ransomware kodları arasında olası bağlantıları gösteren bazı benzerlikler mevcuttur.
Kuruluşlar, ortaya çıkan bu tehdidi kontrol altına almak için acil ve uzun vadeli güvenlik önlemlerini dikkate almalıdır.
Şubat 2024’te, Ramp forumunda Windows, Linux ve ESXi sistemlerini hedef alan birçok işleve sahip Go ve C++ kötü amaçlı yazılımlarını içeren RansomHub adlı yeni bir fidye yazılımı platformu “koley” tarafından tanıtıldı.
Bu yaklaşım, çoklu işletim sistemi ortamlarının tipik bir örneğidir ve platformlar arası saldırıların 2022 ile 2023 arasında nasıl yedi kat arttığını ve bunun sonucunda kurban sayısının inanılmaz derecede arttığını göstermektedir.
RansomHub’ın %90’lık yüksek komisyon oranı, deneyimli bağlı kuruluşların ilgisini çekiyor ve bu da hızlı bir büyüme sağlıyor. Bu bağlamda, ağırlıklı olarak bilişim sektörü olmak üzere 18 ülkede 45 mağdura ulaşıldı.
Bu, maliyetli operasyonel kesintiler nedeniyle büyük fidye ödemesi muhtemel yüksek değerli kurbanları hedef alan “büyük avlanma” yaklaşımı anlamına geliyor.
RansomHub bağlı kuruluşları, yanlış yapılandırılmış Amazon S3 bulut sunucularından yararlanarak birçok istemcinin yedeklemesini sağladı. Daha sonra, bu yedekleme sağlayıcılarını, verileri satın almaya teşvik etmek amacıyla bir gasp planıyla tehditler kullandılar.
Strateji, sağlayıcı-müşteri güven bağlarından yararlanır. Yakın zamanda Amerika Birleşik Devletleri merkezli bir sağlık teknolojisi firması olan Change Healthcare’den elde edilen 4 TB’lık çalıntı bilgiyi satmalarıyla tanındılar.
Insikt Grubu, bazı kod benzerlikleri nedeniyle RansomHub’ın ALPHV (BlackCat) ve Knight Ransomware ile yakından ilişkili olduğunu doğruladı. RansomHub, analizi önlemek için şifrelenmiş dosya parolası ayarlarını kullanır.
Olası bir risk azaltma stratejisi, fidye yazılımının yalnızca bir örneğine izin verdiği için fidye yazılımının ESXi sürümü tarafından yapılan /tmp/app.pid dosyasını değiştirerek bu dosyayı çalışmayı durduracak şekilde değiştirmektir.
Azaltmalar
Aşağıda tüm azaltımlardan bahsettik: –
- Yanal hareketi sınırlamak için ağı segmentlere ayırın.
- Merkezi günlük kaydı ve algılama için SIEM’i kullanın.
- EDR’yi YARA/Sigma kurallarıyla uygulayın.
- Uzaktan erişim için en az ayrıcalığı ve MFA’yı uygulayın.
- Düzenli çevrimdışı ve yalıtılmış veri yedeklemeleri.
- Tutarlı sistem denetimleri gerçekleştirin.
- Tüm sistemleri yamalı ve güncel tutun.
- Kötü amaçlı yazılım tespiti için YARA, Sigma ve Snort kurallarını kullanın.
Free Webinar! 3 Security Trends to Maximize MSP Growth -> Register For Free