Çok sayıda devlet kurumu ve araştırmacıya göre, şimdiden binlerce hedefi etkilemiş olan VMware ESXi hipervizörlerine yönelik küresel bir fidye yazılımı saldırısı genişliyor.
İlk olarak Fransız Bilgisayar Acil Durum Müdahale Ekibi (CERT-FR) tarafından 3 Şubat’ın sonlarında işaretlenen saldırı, Censys’in takibine göre şimdiye kadar Kanada, Fransa, Finlandiya, Almanya ve ABD’de 3.200’den fazla sunucuyu tehlikeye attı.
Güvenliği aşmanın yolu, hipervizörün Açık Hizmet Konum Protokolü (OpenSLP) hizmetini etkileyen 2 yıllık bir uzaktan kod yürütme (RCE) güvenlik açığından (CVE-2021-21974) yararlanmadır.
Fransız barındırma sağlayıcısı OVHcloud’un 5 Şubat’ta yaptığı bir duyuruya göre, saldırının amacı “ESXiArgs” adlı yeni bir fidye yazılımı türünün yüklenmesi gibi görünüyor – ancak saldırılardan etkilenen müşteriler var.
“Biz [previously] saldırının Nevada fidye yazılımıyla bağlantılı olduğu varsayımını yaptı ve bu bir hataydı. İlişkilendirme hiçbir zaman kolay değildir ve güvenlik araştırmacılarını kendi kararlarını vermeye bırakıyoruz.”
Saldırının arkasındaki operatörler, uzlaşmadan sonraki üç gün içinde teslim edilmek üzere yaklaşık 2 Bitcoin (basın zamanında 23.000 $) istiyorlar; DarkFeed olarak bilinen bir Dark Web monitörü tarafından yayınlanan fidye notunun bir kopyasına göre, kurbanlar ödeme yapmazsa fidye artacak ve çete hassas verileri serbest bırakacak, diye uyardılar. Bununla birlikte, siber güvenlik firması Rapid7, bir analizde şu ana kadar gerçek veri hırsızlığına dair hiçbir kanıt olmadığını belirtti.
Bunun yerine, özellikle sanal makine dosyalarını (.vmdk, .vmx, .vmxf, .vmsd, .vmsn, .vswp, .vmss, .nvram ve *.vmem) hedefleyen şifreleme işlemi ana hedef gibi görünüyor. firmanın değerlendirmesine göre. “Bazı durumlarda, dosyaların şifrelenmesi kısmen başarısız olabilir ve kurbanın verileri kurtarmasına izin verebilir.”
Ayrıca Rapid7, “kötü amaçlı yazılım, dosyaların kilidini açmak için VMX işlemini sonlandırarak sanal makineleri kapatmaya çalışıyor” dedi; VMX veya Virtual Machine Executable, G/Ç komutlarını işleyen VMkernel’de çalışan bir işlemdir. Uyarı, “Bu işlev sistematik olarak beklendiği gibi çalışmıyor, bu da dosyaların kilitli kalmasına neden oluyor” diye ekledi.
Yöneticiler, siber saldırılara yakalanmamak için hemen yama yapmalı veya geçici bir çözüm olarak, “uzlaşma riskini daha da azaltmak için SLP, güncellenmemiş tüm ESXi sunucularında devre dışı bırakılabilir” diyor. CERT-FR uyarısı.
Ayrıca, Singapur’dan SingCERT hafta sonu yaptığı bir duyuruda, “Kullanıcılara ve yöneticilere, fidye yazılımı kampanya hedefli 427 numaralı bağlantı noktasının operasyonları kesintiye uğratmadan devre dışı bırakılıp kapatılamayacağını değerlendirmeleri de tavsiye ediliyor.”
VMware, siber suçlular için popüler bir hedef olmaya devam ediyor; daha geçen hafta, sanallaştırma uzmanının ürün portföyünde gizlenen diğer RCE hataları için yararlanma kodu ortaya çıktı.