ESXi sunucuları, tehdit aktörlerinin en çok ilgisini çeken birden fazla sanal makineye ev sahipliği yaptığı için, bu sunucularda başarılı bir ihlal, tehdit aktörlerinin çok sayıda değerli veriye erişmesini ve tüm ağ ortamları üzerinde kontrol sahibi olmasını sağlayabilir.
Bunun yanı sıra, başarılı bir istismar, aynı anda çok sayıda sisteme fidye yazılımı dağıtmalarına ve kuruluşlara operasyonel ve finansal zararlar vermelerine olanak tanıyabilir.
TrendMicro’daki siber güvenlik araştırmacıları, yakın zamanda Play fidye yazılımının Linux versiyonunun ESXi sunucularına aktif olarak saldırdığını keşfetti.
Ransomware ESXi Sunucularını Oyna
Tehdit avcısı bir ekip tarafından, VMWare ESXi ortamlarını hedef alan Play fidye yazılımının Linux versiyonu keşfedildi.
Bu gelişmenin ardından Play now’ın Linux sistemlere saldırması ve dolayısıyla potansiyel kurbanlarının daha çeşitli hale gelmesi mümkün olabilir.
Join our free webinar to learn about combating slow DDoS attacks, a major threat today.
Tespit edilemeyen ve yalnızca bir ESXi ortamının varlığını tespit ederse çalışan bir kötü amaçlı yazılımdır.
Ayrıca tüm sanal makineler için sistemi kapatır ve yeniden başlatmanın ardından alınan mesajları, hiçbir şeyin ters gitmediği izlenimini verecek şekilde değiştirir; tüm bunları ESX’e özgü komutlar aracılığıyla yapar.
Sonuç olarak şifrelenmiş dosyaların adını .PLAY uzantısıyla değiştiriyor ve arkasında fidye notu bırakıyor.
Bu, Play’in kritik öneme sahip sanallaştırma altyapısına saldırmayı amaçlayan yeni stratejiler benimsediği ve bunun da önemli operasyonel kesintilere ve karmaşık veri kurtarma çabalarına yol açtığı anlamına geliyor.
Play fidye yazılımının barındırma altyapısına yönelik bir araştırma, Prolific Puma ile bağlantıları ortaya çıkardı. Bu siber tehdit aktörü, diğer internet tehdit aktörlerine bağlantı kısaltma yazılımı satmasıyla ünlüdür.
Play fidye yazılımının araç setini barındıran IP adresi, Prolific Puma için tipik olan rastgele alan adı oluşturma algoritması (RDGA) örüntüsüyle eşleşen alan adlarına çözümleniyor.
Play ile ilişkilendirilen Coroxy üzerinde yapılan detaylı analizler, Prolific Puma’ya bağlı IP adreslerine bağlantılar olduğunu gösterdi.
Bu durum, her iki grubun altyapılarının ortak bir ağ sağlayıcısı kullanabileceğini göstermektedir; zira hepsi aynı otonom sistem numarasını (ASN) paylaşmaktadır.
Sonuç olarak bu durum, iki taraf arasında bir tür işbirliği olabileceğini gösteriyor ve bu da Prolific Puma’nın kötü amaçlı yazılımların tespit edilmesinden kaçınmasına ve yayılmasına yardımcı olabileceği anlamına geliyor; bu da tehdit aktörlerinin birbirine bağlılığını vurguluyor.
Azaltma önlemleri
Aşağıda tüm hafifletme önlemlerinden bahsettik:
- ESXi ortamlarını düzenli olarak yamalayın ve güncelleyin.
- Anında risk azaltma için sanal yama uygulayın.
- ESXi yanlış yapılandırmalarını denetleyin ve düzeltin.
- MFA ile güçlü erişim kontrolleri uygulayın.
- Kritik sistemleri ve ağları segmentlere ayırın.
- Gereksiz servisleri devre dışı bırakarak saldırı yüzeyini en aza indirin.
- Düzenli çevrimdışı yedeklemeler yapın ve test edin.
- Güvenlik izlemeyi devreye alın ve olay müdahale planları geliştirin.
AI Destekli Güvenlik ile İş E-postalarınızı Sahtecilik, Kimlik Avı ve BEC’den Koruyun | Ücretsiz Demo