Dolandırıcılık Yönetimi ve Siber Suçlar , Yönetişim ve Risk Yönetimi , Yama Yönetimi
Sanallaştırma Devi, Uzun Süreli Yama Yapılmış Birden Çok Kusurdan Yararlanılıyor Olabilir
Mathew J. Schwartz (euroinfosec) •
16 Şubat 2023
Saldırganlar devam ediyor ESXiArgs gibi kripto-kilitleme kötü amaçlı yazılımları bulaştırmak ve fidye için tutmak için yama uygulanmamış VMware sistemlerini hedefleyin.
Ayrıca bakınız: 2022 Unit 42 Fidye Yazılımı Tehdit Raporu
Bu saldırılar bu ayın başlarında ortaya çıktığından beri VMware, tüm ESXi kullanıcılarını, bir veya daha fazla kusurun birden çok saldırgan grubu tarafından istismar edilmesini engelleyecek olan, şu anda desteklenen bir ESXi sürümüne hemen güncelleme yapmaya çağırdı. Güvenlik firması Rapid7 Cuma günü, internet taramalarının henüz yamalanmamış “internete dönük en az 18.581 savunmasız ESXi sunucusu” bulduğunu bildirdi.
Yüksek düzeyde otomatikleştirilmiş ESXiArgs fidye yazılımı kampanyası en az iki dalga halinde gelmiş gibi görünüyor. İlk dalga, 8 Şubat itibariyle yaklaşık 3.000 bilinen konakçıyı bir araya getirdi, ancak araştırmacılar şimdiden binlercesinin daha olduğundan şüpheleniyor.
Son günlerde, saldırı yüzey yönetimi şirketi Censys, 500’den fazla ESXi sunucusunun ESXiArgs fidye yazılımı ile yeni enfekte olduğunu gördü. Bilinmeyen nedenlerle, bu saldırıların çoğunlukla Fransa ve Almanya’da bulunan sunucularla sınırlı göründüğü ve Hollanda, Birleşik Krallık ve Ukrayna’da daha az sayıda saldırı gerçekleştiğini söylüyor.
İlk saldırı dalgası sırasında güvenlik araştırmacıları, etkilenen bazı sistemleri geri yüklemek için kullanılabilecek geçici çözümleri ayrıntılı olarak açıkladı ve ABD Siber Güvenlik ve Altyapı Güvenliği Dairesi, kurbanların bu kurtarma yaklaşımını hızla kullanmalarına yardımcı olmak için bir komut dosyası yayınladı.
Rapid7 araştırmacıları Erick Galinkin ve Drew Burton bir blog yazısında, “Komut dosyası, kullanıcıların fidye yazılımı tarafından şifrelenmiş sanal makinelerin kaydını silmelerine ve bunları yeni bir yapılandırma dosyasıyla yeniden kaydetmelerine izin vererek çalışır.” “Ancak, tam bir geri yükleme yapmak için VM’nin şifrelenmiş bölümlerinin bir yedeğini almanız gerekiyor.”
Bu geçici çözüme yanıt olarak, saldırganlar geçen hafta ikinci bir saldırı dalgası başlatarak kodlarını değiştirerek CISA’nın kurtarma komut dosyasının artık çalışmamasını sağladı. Saldırganlar ayrıca fidye notlarını kurbanların fidyelerini aktarabilmeleri için artık benzersiz bir bitcoin kripto para birimi cüzdan adresi içermeyecek şekilde güncelledi. Araştırmacılar kurbanları saymak için bu adresleri saymışlardı. Şimdi, fidye notu kurbanlara saldırganlara bir adres almaları için mesaj gönderme talimatı veriyor.
Çakışan Raporlar
ESXiArgs kampanyasını çevreleyen birçok ayrıntı belirsizliğini koruyor. Siber güvenlik firması Trellix’teki araştırmacılar, bu saldırıların veri hırsızlığı içerip içermediği veya fidye yazılımı varyantının “sızan ve artık feshedilmiş Babuk fidye yazılımı ailesinden yeniden geliştirilmiş kaynak kodu” olup olmadığı konusunda çelişkili raporlar olduğunu söylüyor.
Fidye yazılımı kampanyasının ilk sürümleri, ESXi’deki OpenSLP hizmetinde CVE-2021-21974 olarak adlandırılan bir yığın taşması güvenlik açığını hedef aldı.
VMware, bunun hedeflenen tek ESXi güvenlik açığı olduğuna dair bir kanıt olmadığı konusunda uyarıyor. Bir şirket sözcüsü, Information Security Media Group’a bunun yerine, saldırganların “daha önce VMware güvenlik önerilerinde ele alınan ve açıklanan bilinen güvenlik açıklarından yararlanarak” genel desteğin sonunu “veya önemli ölçüde güncel olmayan ürünleri hedefliyor gibi göründüğünü” söyledi.
Artı olarak, VMware, “ESXiArgs saldırılarında fidye yazılımını yaymak için bilinmeyen veya sıfırıncı gün güvenlik açığının kullanıldığını gösteren hiçbir kanıt” olmadığını bildiriyor.
Bu nedenle, ESXiArgs’a karşı savunma, kısmen, tüm ESXi sistemlerinin olabildiğince çabuk güncellenmesini gerektirir. VMware, fidye yazılımı saldırılarıyla ilgili bir SSS’de “Mevcut sürümlerden daha eski yazılım sürümlerini çalıştıran kuruluşlar risk altındadır ve derhal en son sürümlere güncellenmelidir” diyor.
VMware ayrıca, kullanıcıların internete açık olan tüm ESXi sunucularını kilitlemelerini önerir. “BT altyapı sistemlerinin yönetim arayüzlerini doğrudan internete yerleştiren kuruluşlar, önlerindeki filtreleri ve ek güvenlik kontrollerini doğrulamak için acil adımlar atmalı ve bu kontrollerin etkinliğini gözden geçirmelidir” diyor.
Uzmanlar, normal siber hijyen kurallarının sanallaştırılmış ortamları yönetmek için çok geçerli olduğunu söylüyor. Siber uzmanı Daniel Card, “İnsanların internete maruz kaldıklarının farkında olmaları, saldırı yüzeylerini azaltmaları, satıcı kılavuzunu uyguladıklarından emin olmaları ve mümkün olan yerlerde yönetim arayüzlerini korumak için izin listelerini veya VPN’leri dağıtmaya bakmaları gerekiyor” diyor. Londra merkezli Xservus Limited.
RansomExx2 Mücadeleye Giriyor
ESXiArgs fidye yazılımı, saldırı kampanyası bir hipervizöre çarptıktan sonra, sanal makineler de dahil olmak üzere birden çok dosya türünü kripto kilitli bir şekilde bıraktığı için böyle adlandırılmıştır. .args dosya adına eklenen uzantı. İtalya’nın siber güvenlik kurumu, herhangi bir destekleyici kanıt paylaşmamasına rağmen BlackBasta fidye yazılımı grubunun saldırılarla bağlantılı olabileceğini öne sürdü.
Ancak Rapid7 araştırmacıları, RansomExx2 adlı kötü amaçlı yazılım kullanan farklı bir kampanyanın da yama uygulanmamış sunucularda CVE-2021-21974’ü hedef aldığını söylüyor. RansomExx2’yi “Rust’ta yazılmış ve Linux’u hedefleyen nispeten yeni bir fidye yazılımı türü” olarak tanımlıyorlar ve Rust’ta yazılan kötü amaçlı yazılımların uç nokta güvenlik sistemleri tarafından tespit edilmesinin nispeten zor olabileceğini söylüyorlar.
ESXiArgs kampanyası ilk olarak bu ayın başlarında tespit edilmiş olsa da, Censys araştırmacıları Mark Ellzey ve Emily Austin bir blog gönderisinde, ESXiArgs fidye notları ile önceki saldırılar arasında buldukları benzerliklere dayanarak saldırıların aylar önce başlamış olabileceğini yazıyorlar.
“Analiz sırasında, 2022 Ekim ayının ortasına kadar uzanan, çarpıcı biçimde benzer fidye notlarına sahip iki sunucu keşfettik” diyorlar. Bu, ESXiArgs fidye yazılımı kampanyasının, saldırganların “yöntemlerini belirli birkaç ana bilgisayarda” test edip iyileştirdiği erken aşamalarını ortaya çıkarabilir. Saldırganların o sırada hangi açıklardan yararlandığı net olmasa da, saldırıların “ESXi 6.5 ve 6.7 sürümleri kullanım ömrünün sonuna geldikten hemen sonra” gerçekleştiğini söylüyorlar.
Yama Kılavuzu
Fidye yazılımı kampanyasına yanıt olarak VMware, vSphere ve bulut altyapısını güvende tutmak için ayrıntılı ipuçları yayınladı.
Bir sözcü, “Müşterilerimizin güvenliği VMware’de en önemli önceliktir ve kuruluşların şu anda bilinen güvenlik açıklarını gidermek için vSphere bileşenlerinin mevcut en son desteklenen sürümlerine yükseltme yapmalarını öneririz” dedi. “Müşteriler, iş yüklerini yamaya taşıma hakkında daha fazla bilgi edinmek için VMware’in ESXi güncelleme ipuçlarını da ziyaret etmelidir. VMware’in ESXiArgs fidye yazılımı hakkındaki müşteri blogunda ek öneriler mevcuttur.”
VMware, mümkün olduğunda, kullanıcıların “bir sunucudan diğerine iş yüklerinin sıfır aksama süresi canlı geçişini” kolaylaştırmak için tasarladığı ve “ESXi’ye yama uygulanabilmesi için iş yüklerini sorunsuz bir şekilde taşımak” için kullanılabilen vSphere’in vMotion bileşenini kullanmalarını önerir. ” vSphere Update Manager bileşeni, bireysel ESXi ana bilgisayarlarını güncellemek ve yamalamak için kullanılabilir.
Hipervizörler Ateş Altında
Bu, yama uygulanmamış hipervizörleri hedef alan ve sanal makinelerini kripto kilitlemeye çalışan son saldırı kampanyası olmayacak.
VMware’in bulut altyapısı platformunun ürün yönetiminden sorumlu başkan yardımcısı Paul Turner, Çarşamba günkü bir blog gönderisinde “Sanal altyapı, tam da kuruluşlar en önemli iş yüklerini burada çalıştırdıkları için yüksek değerli bir hedeftir,” diye yazıyor.
Ancak Xservus’ Card, herhangi bir hiper yöneticiye yama uygulamanın zor olabileceğini söylüyor. “Sanallaştırılmış bir ortamı dağıtmak çok kolay, ancak güncellemeler söz konusu olduğunda bu bir acı. Ayrıca, zaman, para ve becerileri içeren kısıtlamalar nedeniyle bunu yapmamak çok kolay.”
Ek olarak, kuruluşların tek bir ana bilgisayarı varsa, güncellemenin kapalı kalma süresi gerektireceğini ve “hangi kuruluşların genellikle hoşlanmadığını” söylüyor Card. “Kümelendiklerinde, genellikle daha kolaydır, ancak ana bilgisayar-hiper yönetici altyapısı/lisansları ve olası konuk sanal makine yazılımı için genellikle daha fazla maliyet vardır.”
Rapid7, fidye yazılımı riski taşıyan tüm sistemlerde olduğu gibi, ESXiArgs saldırı kampanyasının, sanal makineleri kullanan herkesin yedeklendiğinden emin olması gerektiğini hatırlattığını söylüyor. “Sanal makineler için bile bir yedekleme çözümünüz olduğundan emin olun” diyor. “Bugün sanal makineleri korumak için çok çeşitli yedekleme çözümleri mevcut.”