Bir dizi fidye yazılımı saldırısı bilinen bir VMware güvenlik açığından yararlanma araştırmacılara göre basit bir kampanyanın izlerini taşıyor. Yine de potansiyel kurbanların sayısı ve fidye yazılımı çılgınlığının neden olduğu hasar artıyor.
En son gelen bilgilere göre, ilgili IP adreslerine bağlı kurbanların listesi Salı günü 3.800’ü aştı. Ransomwhere tarafından derlenen veriler, açık kaynaklı bir fidye yazılımı ödeme izleyicisi. Şimdiye kadar toplam 88.000 $ değerinde dört ödeme yapıldı. Ransomwhere tarafından paylaşılan Censys verileri Twitter’dan.
Ele geçirilen IP adreslerinin 4’te 1’inden fazlası Fransa’da barındırılıyor, ancak Cuma günü başlayan saldırılar Avrupa, Kanada, Asya ve ABD’deki birden çok ülkeyi kapsıyor.
Fidye yazılımı saldırıları genellikle teker teker gerçekleşir. Chester Wisniewski, Sophos’ta uygulamalı araştırmaların CTO’su. Tek seferde yaklaşık 4.000 kurbanı vuran bir fidye yazılımı çılgınlığı [a] Normale göre gülünç bir ölçek ama bir yandan da oldukça amatörce” dedi.
Fidye yazılımlarının kitlesel dağılımı ve nispeten düşük ve özelleştirilmemiş fidye talepleri, tehdit aktörünün yüksek miktarda otomasyon kullandığını gösteriyor. Aynı zamanda bu kadar çok potansiyel kurbanın neden ve nasıl birkaç gün içinde iki yıllık bir güvenlik açığından etkilendiğini de açıklıyor.
Wisniewski, “Bu kadar eski ve bakımsız olan bu türden bu kadar çok halka açık altyapı olmasına biraz şaşırdım” dedi. “Bütün bunlar çok garip ama kesinlikle bunu ciddi anlamda amatörce kategoride sınıflandırırdım.”
tarafından gözlemlenen aktivite Arktik Kurt Laboratuvarları arkasındaki tehdit aktörünü önermektedir. ESXiArgs kampanyası, şu amaçlar için bir kavram kanıtı istismar kodu kullanıyor: CVE-2021-21974 en az bir yıldır halka açıktı.
Arctic Wolf Labs tehdit istihbaratı araştırması kıdemli yöneticisi Adrian Korn, e-posta yoluyla, “Bu kampanyaya kadar açıktan yararlanma kullanımında önemli bir artış görmedik,” dedi.
“Tehdit aktörleri yaratıcı oluyor ve yeni kampanyalarda kullanmak için kullanıma hazır istismarlara bakıyor. Bu ESXiArgs ekibinin çok fazla hasar vermek için ESXi sunucularını hedeflemek istemesi ve ardından bu CVE ile karşılaşması muhtemeldir,” dedi Korn.
Kurbanların kimlikleri henüz belirlenmedi
Potansiyel kurbanlara yönelik devam eden fidye yazılımı kampanyasını takip etme çabaları sürüyor.
“Bu kampanya özellikle sofistike olmasa da bu, çok sayıda kurbanı etkilemeyi başaramadığı anlamına gelmiyor. Tam olarak kaç kurban olduğu ve kim oldukları henüz bilinmiyor” dedi. Brett Callow, Emsisoft’ta tehdit analistie-posta yoluyla söyledi.
Reuters sunucuları tanımladı Florida Yüksek Mahkemesi ve birkaç üniversiteye bağlı güvenliği ihlal edilmiş IP adresleriyle, ancak araştırmacılar, IP adresi verilerine dayalı olarak doğrudan bir bağlantı kurulması konusunda uyarıda bulundu.
IP adresi kayıtları tutarlı bir şekilde güncellenmez ve bazı bulut hizmeti sağlayıcıları, barındırılan ve sanallaştırılmış VMware kurulumları sunarak IP adresi sahipliği zincirini daha da kırar.
Cybersecurity Dive’a e-posta yoluyla konuşan bir sözcü, “Florida Yüksek Mahkemesi’nin sistemleri tehlikede değil” dedi.
Korn’a göre ESXiArgs, diğer fidye yazılımı gruplarından bazı kodlar ödünç aldı ve fidye yazılımını dağıtmak ve temizleme eylemleri gerçekleştirmek için temel bir kabuk betiği yazdı. “Bu, son derece sofistike bir düşmanın faturasına uymuyor.”
Cybersecurity and Infrastructure Security Agency’ye göre, bazı kurbanlar bu saldırılar tarafından ele geçirilen verileri fidye ödemeden kurtardı. Ajans, Salı günü bir yayın yayınlayarak bu çabayı destekledi. ESXiArgs fidye yazılımı kurtarma betiği kuruluşların kurtarma girişiminde bulunmasına yardımcı olmak için GitHub’da.
Karmaşık olmayan saldırı tarzına ve kurbanların ciddi hasarlar olmadan iyileşme potansiyeline rağmen, ESXiArgs fidye yazılımı kampanyası, yetersiz bakım ve kontrollerle ilişkili riskin altını çiziyor.
Wisniewski, bu VMware yönetim arabirimlerinin yamalanmamasının yanı sıra internette bile bulunmamaları gerektiğini söyledi. “Bu, tam bir uzaktan kod yürütme, yani bir kez çalıştırdıklarında kutuyu kontrol ediyorlar ve ne isterlerse yapabilirler.”
Daha da kötüsü, Wisniewski, bunun gibi başarılı kampanyaların genellikle daha fazla hasara neden olabilecek daha sofistike tehdit aktörleri tarafından kopyalandığını söyledi.