Bu ses otomatik olarak oluşturulmuştur. Geri bildiriminiz varsa lütfen bize bildirin.
Siber yetkililere ve uzmanlara göre, küresel bir fidye yazılımı kampanyası, Cuma gününden itibaren VMware ESXi’nin belirli sürümlerini kullanan binlerce kuruluşu vurdu.
İlk erişim vektörüyle ilgili araştırmalar sürüyor, ancak birçok ülkedeki araştırmacılar ve ajanslar, kampanyayı ilk olarak yaklaşık iki yıl önce keşfedilen ve yamalanan bilinen bir VMware güvenlik açığına bağladı. Saldırılar Avrupa, Kanada ve ABD’deki birçok ülkeyi kapsıyor
P’ye göre, 24 saat içinde yaklaşık 2.000 sunucu ele geçirildi ve şu ana kadar en az 2.250 makine ele geçirildi.Atrice Auffret, Fransa merkezli siber güvenlik firması Onyphe’nin kurucusu, CTO’su ve CEO’su.
VMware ürünlerindeki kritik güvenlik açıkları, tekrarlayan sorunve sunucu sanallaştırma için hipervizör yazılımı olan EXSi, fidye yazılımı operatörleri için ortak bir hedeftir.
Bir VMware sözcüsü e-posta yoluyla, “ESXiArgs adlı bir fidye yazılımı varyantı, daha önce ele alınan ve VMware güvenlik tavsiyelerinde açıklanan bilinen güvenlik açıklarından yararlanarak genel desteğin sonunu veya önemli ölçüde güncelliğini yitirmiş ürünleri hedefliyor gibi görünüyor” dedi.
Tehdit aktörleri, bilinen yığın taşması güvenlik açığından yararlanabilir. VMware’in OpenSLP hizmeti, CVE-2021-21974nispeten az karmaşıklıkla erişim elde etmek ve saldırıları başlatmak için.
VMware yaptığı açıklamada, “VMware, fidye yazılımını ESXiArgs saldırılarında yaymak için bilinmeyen veya sıfırıncı gün güvenlik açığının kullanıldığını gösteren herhangi bir kanıt bulamadı” dedi. Blog yazısı.
Yaklaşık 66.000 makine potansiyel olarak bu saldırı çılgınlığına maruz kalıyor, ancak Auffret’e göre bu cihazların yüzde kaçının yamalandığı bilinmiyor.
“Bu kadar eski güvenlik açıklarına yönelik saldırıların potansiyel kurbanları oldukça hızlı bir şekilde yok etmesi muhtemeldir.” Chester Wisniewski, Sophos’ta uygulamalı araştırmaların CTO’sue-posta yoluyla söyledi.
Tehdit aktörleri, yama uygulanmamış daha fazla sürümü etkilemek için saldırı vektörünü iyileştirmek için kodda ince ayar yapabilir veya daha fazla fırsat belirleyebilir. Wisniewski, böyle bir hareketin “potansiyel olarak başka bir büyük kurban patlamasıyla sonuçlanacağını” söyledi.
Sophos, saldırıların arkasında kimin olduğunu doğrulamadı, ancak birden fazla saldırganın karışmış olabileceğine dair kanıtlar gözlemledi.
Auffret e-posta yoluyla, saldırıların arkasındaki kişi veya grubun her kurbandan yaklaşık iki bitcoin talep ettiğini söyledi.
“Bana göre büyük bir fidye yazılımı grubunun imzası değil. Auffret, daha dikkatli bir şekilde hedef alırlardı” ve özelleştirilmiş bir fidye talebinin daha büyük bir grubun imzası olacağını söyledi.
Açık kaynaklı fidye yazılımı ödeme izleyicisi Ransomwhere, bir liste derledi Saldırı çılgınlığında kullanılan 1.700’den fazla fidye yazılımı ödeme adresi ve bugüne kadar 58.000 $ değerinde iki ödeme izledi.
Bir sözcü e-posta yoluyla yaptığı açıklamada, Siber Güvenlik ve Altyapı Güvenliği Ajansı’nın bildirilen bu olayların etkilerini değerlendirmek ve yardım sağlamak için kamu ve özel sektör ortaklarıyla birlikte çalıştığını söyledi.
Almanya, Fransa, İtalya ve Kanada’daki yetkililer de saldırıları yanıtlıyor ve soruşturuyor.