Babuk fidye yazılımının yeni bir çeşidi gibi görünen şey, Şilili bir veri merkezi barındırma şirketi olan IxMetro PowerHost'a isabet ettiği doğrulananlar da dahil olmak üzere birçok ülkedeki VMware ESXi sunucularına saldırmak üzere ortaya çıktı. Varyant, hedef platformunda bir oyun olarak kendisine “SEXi” adını veriyor.
CronUp siber güvenlik araştırmacısına göre Alman FernandezPowerHost CEO'su Ricardo Rubem, yeni bir fidye yazılımı çeşidinin şirketin sunucularını .SEXi dosya uzantısını kullanarak kilitlediğini ve iç ağa ilk erişim vektörünün henüz bilinmediğini doğrulayan bir bildiri yayınladı. Saldırganlar 140 milyon dolar fidye talep ederken Rubem bunun ödenmeyeceğini belirtti.
SEXi'nin ortaya çıkışı iki büyük fidye yazılımı eğiliminin kavşağında duruyor: Babuk kaynak kodunu temel alan kötü amaçlı yazılım geliştirdi; ve baştan çıkarıcı derecede sulu VMware EXSi sunucularından ödün verme arzusu.
IX PowerHost Saldırısı Daha Geniş Fidye Yazılımı Kampanyasının Bir Parçası
Bu arada, Equinix'teki CTI araştırmacısı Will Thomas, saldırıda kullanılanla ilgili olduğuna inandığı “LIMPOPOx32.bin” adlı ve VirusTotal'da Babuk'un Linux sürümü olarak etiketlenen bir ikili dosyayı ortaya çıkardı. Basın zamanında, kötü amaçlı yazılımın %53 tespit oranına sahip olduğu VT'de, 8 Şubat'ta ilk kez yüklendiğinden bu yana 64 güvenlik sağlayıcısından 34'ü onu kötü amaçlı olarak işaretliyor. onu fark ettim Sevgililer Günü'nde, Tayland'daki bir kuruluşa yönelik saldırıda “SEXi” kolu olmadan kullanıldığı zaman.
Ancak Thomas ayrıca bağlantılı diğer ikili dosyaları da keşfetti. O gibi tweet attı, “IXMETRO POWERHOST'a yönelik SEXi fidye yazılımı saldırısı, en az üç Latin Amerika ülkesini etkileyen daha geniş bir kampanyayla bağlantılı.” Bunlar kendilerine Sokotra adını veriyor (23 Mart'ta Şili'de düzenlenen saldırıda kullanılmış); Yine Limpopo (9 Şubat'ta Peru'da düzenlenen saldırıda kullanıldı); ve Formosa (26 Şubat'ta Meksika'da düzenlenen saldırıda kullanıldı). İlgili olarak, bu yazının yazıldığı sırada VT'de kayıtlı üç sıfır tespitinin tümü.
Bulgular hep birlikte, tamamı Babuk'a uzanan çeşitli SEXi yinelemelerini kullanan yeni bir kampanyanın gelişimini gösteriyor.
SEXi Saldırılarında Gölgeli TTP'ler Ortaya Çıkıyor
Kötü amaçlı yazılım operatörlerinin nereden geldiğine veya niyetlerinin ne olduğuna dair hiçbir gösterge yok. Ancak yavaş yavaş bir dizi taktik, teknik ve prosedür ortaya çıkıyor. Birincisi, ikili dosyaların terminolojisi yer adlarından gelir. Limpopo, Güney Afrika'nın en kuzeydeki eyaletidir; Sokotra, Hint Okyanusu'nda bir Yemen adasıdır; Formosa, Çin'in Qing Hanedanlığı'nın ada üzerindeki egemenliğini bırakmasının ardından 1800'lerin sonlarında Tayvan'da bulunan kısa ömürlü bir cumhuriyetti.
Ve MalwareHunterTeam'in X'te işaret ettiği gibi, “bu 'SEXi' fidye yazılımı hakkında notta aktörler tarafından belirtilen iletişim yönteminin Session olması ilginç/bahsetmeye değer olabilir.[‘ve] Yıllar önce bile bazı aktörlerin bunu kullandığını görmüştüm, ben [don’t] Bunu büyük/ciddi vakalar/aktörlerle ilgili olarak gördüğünüzü unutmayın.”
Session, kullanıcı gizliliğini ve anonimliğini vurgulayan, platformlar arası, uçtan uca şifrelenmiş bir anlık mesajlaşma uygulamasıdır. IX PowerHost saldırısındaki fidye notu, şirketi uygulamayı indirmeye ve ardından “SEXi” kodunu içeren bir mesaj göndermeye teşvik ediyordu; Tayland saldırısındaki önceki notta Oturumun indirilmesi ancak “Limpopo” kodunun eklenmesi yönünde çağrıda bulunuluyordu.
EXSi Siber Saldırganlar İçin Seksi
VMware'in EXSi hipervizör platformu, Linux ve Linux benzeri işletim sistemi üzerinde çalışır ve birden fazla, veri açısından zengin sanal makineyi (VM'ler) barındırabilir. Bu bir fidye yazılımı aktörlerinin popüler hedefi Yıllardır kısmen saldırı yüzeyinin büyüklüğünden dolayı: Shodan araştırmasına göre İnternet'e açık on binlerce ESXi sunucusu var ve bunların çoğu eski sürümleri çalıştırıyor. Ve bu, bir kurumsal ağa ilk erişim ihlali sonrasında erişilebilenleri hesaba katmıyor.
Ayrıca katkıda bulunmak fidye yazılımı çetelerinin EXSi'ye ilgisi artıyorplatform herhangi bir üçüncü taraf güvenlik aracını desteklemez.
tarafından hazırlanan bir rapora göre, “ESXi sunucuları gibi yönetilmeyen cihazlar, fidye yazılımı tehdit aktörleri için büyük bir hedeftir.” Öncü geçen yıl piyasaya sürüldü. “Bunun nedeni, bu sunuculardaki değerli veriler nedeniyle, giderek artan sayıda onları etkileyen güvenlik açıklarından yararlanıldıİnternete sık sık maruz kalmaları ve bu cihazlarda uç nokta algılama ve yanıt (EDR) gibi güvenlik önlemlerini uygulamanın zorluğu. ESXi, birden fazla VM'yi barındırdığı ve saldırganların kötü amaçlı yazılımı bir kez dağıtmasına ve tek bir komutla çok sayıda sunucuyu şifrelemesine olanak tanıdığı için saldırganlar için yüksek verimli bir hedeftir.”
VMware'in bir özelliği var EXSi'yi güvence altına almak için kılavuz ortamlar. Özel öneriler şunları içerir: ESXi yazılımının yamalanmış ve güncel olduğundan emin olun; şifreleri sertleştirmek; sunucuları İnternet'ten kaldırmak; ağ trafiğinde ve ESXi sunucularında anormal etkinlikleri izlemek; ve kurtarmayı etkinleştirmek için ESXi ortamı dışında VM'lerin yedeklerinin bulunduğundan emin olun.