Tüm bu günlerde hacker’ların Windows ve Linux makinelerini hedef aldığını gördük. Ancak şimdi VMware ESXi yazılımındaki bir güvenlik açığından yararlanarak kitlesel sanal makinelerin şifrelenmesinin peşinde gibi görünüyorlar. Hacker’lar artık bu açığı kullanarak sanal makineleri büyük ölçekte şifreliyorlar.
CVE-2024-37085 olarak tanımlanan güvenlik açığı, ciddiyet ölçeğinde 10 üzerinden 7 olarak derecelendirilmiştir. Saldırganların Active Directory’ye erişmesi ve ardından sanal makineleri kapsamlı bir şekilde şifrelemesi için bir ağ geçidi görevi görür. Bu, fidye yazılımı saldırılarında ve büyük ölçekli veri sızdırmalarında artışa yol açmıştır.
Evil Corp, Octo Tempest, Black Basta ve Akira gibi önemli fidye yazılımı grupları daha önce saldırılarında ESXi makinelerini kullanmıştı. Ancak, mevcut durum daha ciddi ve bilgisayar korsanları giderek daha fazla sayıda Active Directory sistemini toplu olarak hedef alıyor.
Kurumsal güvenlikte önemli bir oyuncu olan Broadcom, bu güvenlik açığı için bir düzeltme yayınladı. Şirket, sistemleri güncel tutma, çok faktörlü kimlik doğrulamayı uygulama, parolasız kimlik doğrulamayı etkinleştirme ve sağlam yedekleme ve kurtarma planları sağlama gibi genel azaltma tavsiyeleri sağlasa da, saldırganların ESXi hipervizörlerini nasıl tehlikeye attığını derinlemesine incelemedi.
Bağlam olarak, Broadcom, sanallaştırma yazılımı devi VMware’i Mayıs 2022’de 68 milyar dolara satın aldı ve anlaşma resmi olarak Kasım 2023’te kapandı.
Ayrıca, Haziran 2024’ün başlarında, APT Inc grubunun (eski adıyla SE$i ransomware) Play Ransomware grubu ve kötü şöhretli otomasyon aracı Prolific Puma ile iş birliği yaptığını belirtmekte fayda var. Bu iş birliği, saldırıları için kısaltılmış bağlantılarla otomatik alan adı kaydından yararlanarak ESXi ortamlarını hedef aldı.
Reklam