VMware ESXi kullanan kuruluşları hedef alan küresel bir fidye yazılımı saldırıları, siber yetkililerin ve uzmanların kafasını karıştırdı.
ESXiArgs fidye yazılımı için ilk erişim vektörü henüz onaylanmadı ve bağımsız olarak doğrulanmadı. Potansiyel kurbanların kimliği ve neden olunan hasarın boyutu da bilinmiyor.
Tehdit araştırmacılarına göre şimdiye kadarki faaliyetlerin çoğu 3 Şubat ile 11 Şubat arasında gerçekleşti.
Cumartesi günü, çoğu Fransa, Almanya, Hollanda ve Birleşik Krallık’ta bulunan yeni ESXiArgs fidye yazılımı türü tarafından enfekte edilen 500’den fazla ana bilgisayarla bir dizi saldırı gözlemlendi. Censys araştırması Çarşamba günü yayınlandı.
Saldırı yüzeyi firması ayrıca “2022 Ekim ayının ortasına kadar uzanan, çarpıcı biçimde benzer fidye notlarına sahip iki ana bilgisayar keşfettiğini” söyledi. Censys inşa etti göstermek için pano ESXiArgs fidye yazılımının yeni varyantının tespit edildiği ülkeler ve ana bilgisayarlar.
Burada, ilk saldırı çılgınlığının başlamasından iki haftadan kısa bir süre sonra, ESXiArgs hakkında şu ana kadar bildiklerimiz:
kaç kişi etkilendi
İlk saldırı dalgası Fransa merkezli siber güvenlik firması Onyphe’nin kurucusu, CTO’su ve CEO’su Patrice Auffret’e göre 3 Şubat’ta başladı ve 24 saat içinde yaklaşık 2.000 sunucunun güvenliği ihlal edildi.
O sırada bir VMware sözcüsü, “ESXiArgs olarak adlandırılan bir fidye yazılımı varyantı, daha önce VMware güvenlik tavsiyelerinde ele alınan ve açıklanan bilinen güvenlik açıklarından yararlanarak genel desteğin sonunu veya önemli ölçüde güncelliğini yitirmiş ürünleri hedefliyor gibi görünüyor” dedi.
VMware’in Güvenlik Yanıt Merkezi bir müşteriler için rehberlik içeren blog 6 Şubat’ta. Şirket, ESXiArgs saldırılarında fidye yazılımını bilinmeyen veya sıfırıncı gün güvenlik açığının yaydığına dair hiçbir kanıt olmadığını savunuyor.
Saldırılar en az 3.800 IP adresini hedef aldı ve Avrupa, Kanada, Asya ve ABD’de birden fazla ülkeyi kapsayan en az 2.250 makineyi ele geçirdi. Dört fidye ödemesi toplam değeri 88.000$ olan Ransomwhere tarafından izleniyoraçık kaynaklı bir fidye yazılımı ödeme izleyicisi.
değişken
Müdahale ve kurtarma çalışmaları başlarken, yeni bir ESXiArgs fidye yazılımının bir çeşidi ortaya çıktı ve Censys’e göre bugüne kadar 2.100’den fazla VMware sunucusuna bulaştı.
Kötü amaçlı yazılımın biraz değiştirilmiş sürümü, verileri farklı bir şifreleme rutini ile daha etkili bir şekilde şifreler. Emsisoft’ta tehdit analisti olan Brett Callow, o sırada e-posta yoluyla söylendi.
Onu kim buldu ve hükümet ne diyor?
Fransa’daki siber yetkililer ilk alarmı 3 Şubat’ta verdi ve bir danışma fidye yazılımı saldırılarını yaklaşık iki yıl önce keşfedilen ve yamalanan bilinen bir VMware güvenlik açığına bağlama.
Cybersecurity and Infrastructure Security Agency’ye göre, bazı kurbanlar ilk saldırı çılgınlığıyla ele geçirilen verileri fidye ödemeden kurtardı.
CISA ve FBI bir ortak danışma rehberliğinde yayınladı ve bir ESXiArgs fidye yazılımı kurtarma betiği devam eden fidye yazılımı kampanyasına yanıt olarak GitHub’da.
Ancak, çok sayıda tehdit araştırmacısı ve analistine göre, ESXiArgs’ın yeni varyantındaki küçük bir kod değişikliği, kurtarma komut dosyasını büyük ölçüde etkisiz hale getirdi.
“Daha fazla veriyi şifreleyen yeni bir ESXiArgs fidye yazılımı varyantının farkındayız. Yeni bilgiler geldikçe danışma belgesini güncelleyeceğiz,” CISA Direktörü Jen Easterly Twitter’da dedi geçen hafta.
Tehdit istihbaratı EXSiArgs tarafından rahatsız edildi
İlk ve hala doğrulanmamış varsayım, tehdit aktörlerinin bilinen bir yığın taşması güvenlik açığından yararlandıklarıdır.n VMware’in OpenSLP hizmeti, CVE-2021-21974, ilk erişimi elde etmek ve saldırıları başlatmak için. Fransız Bilgisayar Acil Durum Müdahale ekibi, danışma belgesinde bağlantıyı ilk kuran ekip oldu.
İlk erişim vektörüyle ilgili araştırmalar devam ediyor, ancak VMware ürünlerindeki kritik güvenlik açıkları bir tekrarlayan sorun
VMware ESXi örneklerini hedefleyen fidye yazılımı etkinliği ESXiArgs çılgınlığından önce yükselişte Recorded Future tarafından yayınlanan araştırmaya göre patlak verdi.
2020’de ESXi’yi fidye yazılımıyla yalnızca iki siber saldırı hedef aldı, ancak 2021’de Recorded Future’da 400’den fazla olay tespit edildi. Araştırmaya göre, geçen yıl bu sayı neredeyse üç kat artarak 2022’de 1.118’e yükseldi.
neden tuhaf
Birden fazla tehdit araştırmacısı ve analisti, fidye yazılımı saldırıları serisini basit olarak nitelendirdi, ancak o sırada potansiyel kurbanların sayısı hala artıyordu.
Kurbanlar henüz tespit edilmedi veya ortaya çıkmadı.
Sophos’ta uygulamalı araştırmanın CTO’su Chester Wisniewski’ye göre, fidye yazılımı saldırıları genellikle birkaç gün içinde yaklaşık 4.000 kurbanı vuran bir çılgınlık şeklinde değil, birer birer gerçekleşiyor.
“Hepsi çok garipancak bunu kesinlikle ciddi amatörce kategoride sınıflandırırdım, ”dedi Wisniewski geçen hafta.
Fidye yazılımlarının kitlesel dağılımı ve nispeten düşük ve özelleştirilmemiş fidye talepleri, tehdit aktörünün yüksek miktarda otomasyon kullandığını gösteriyor; tipik olarak multi-milyon dolarlık fidye talep eden daha karmaşık düşmanlarla ilişkilendirilen uygulamalı klavye taktiklerini değil.
Editörün notu: Bu makale, Censys’in Çarşamba günü yayınladığı verilerle güncellendi.