Yeni fidye yazılımı türleri, SSH tünelleri kurarak ve meşru faaliyetler içindeki kötü amaçlı trafiği gizleyerek VMware ESXi ana bilgisayarlarına sessizce sızıyor.
Bu gizlilik taktiği, saldırganların, daha geleneksel ağ yollarını izleyen standart alarmların veya algılama sistemlerinin çoğunu tetiklemeden, kritik sanal makine ortamlarına erişmesine olanak tanır.
ESXi cihazları genellikle izlenmediği için siber suçlular, göz önünde saklanma, verileri sızdırma ve sanal makineleri minimum müdahaleyle kilitleme fırsatını yakaladı.
Sanallaştırılmış altyapılar, sanal makinelerin yüksek değeri ve saldırganların kontrolü ele geçirmeleri durumunda verebilecekleri hızlı hasar nedeniyle fidye yazılımı aktörleri için cazip hedeflerdir.
Sygnia, her konuk sistemi tek tek tehlikeye atmak yerine, suçluların ESXi ana bilgisayarının kendisine odaklanarak tüm sanal diskleri tek bir koordineli saldırıyla şifrelemelerine olanak sağlayabileceğini söyledi.
Sanal makineler erişilemez hale getirildiğinde, kuruluşlar kendilerini kritik işlevleri geri yükleme konusunda yarışırken veya ödeme taleplerini düşünürken buluyor. Bu olaylarda iş sürekliliği, itibar ve gelir ciddi tehlikelerle karşı karşıya kalıyor.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free
Saldırganlar, şifrelemenin ötesinde, kurumsal ağlarda daha geniş erişim elde etmek için ESXi sunucularını pivot noktaları olarak da kullanıyor. Tehdit aktörleri, SOCKS tüneli oluşturmak için SSH’yi kullanarak yanal hareket edebilir ve trafiği rutin idari operasyonlarla harmanlayabilir.
Güvenliği ihlal edilmiş sistem nadiren yeniden başlatılır ve çoğu zaman yetersiz şekilde günlüğe kaydedilir, kalıcı arka kapıların kurulumu için ideal bir ortam haline gelir.
Saldırı Nasıl Çalışır?
- İlk Erişim:
Saldırganlar, güvenlik açıklarından (örn. CVE-2021-21974) yararlanarak veya çalıntı yönetici kimlik bilgilerini kullanarak VMware ESXi ana bilgisayarlarına erişim elde eder. Bu yöntemler, kimlik doğrulamayı atlamalarına ve cihaz üzerinde kontrol kurmalarına olanak tanır. - SSH Tüneli Kurulumu:
Saldırganlar içeri girdikten sonra bir SOCKS tüneli oluşturmak için ESXi cihazlarının yerel SSH işlevlerini kullanır. Bu genellikle şuna benzer bir komutla gerçekleştirilir:textssh –fN -R 127.0.0.1:Bu uzaktan bağlantı noktası yönlendirme kurulumu, ele geçirilen ESXi ana bilgisayarını saldırganın Komuta ve Kontrol (C2) sunucusuna bağlayarak meşru ağ etkinliğine karışırken kötü amaçlı trafiği ana bilgisayar üzerinden yönlendirmesine olanak tanır.@ - Kalıcılık:
ESXi cihazları nadiren yeniden başlatılır, bu da onları ağ içinde yarı kalıcı arka kapıların korunması için ideal kılar. SSH tüneli aktif kalarak saldırganların tespit edilmeden operasyonlarına devam etmelerine olanak tanır. - Keşif ve Yanal Hareket:
Saldırganlar, kurulan tüneli kullanarak ele geçirilen ağ içinde keşif gerçekleştirerek ek hedefleri ve hassas verileri tespit ediyor. - Şifreleme ve Fidye Dağıtımı:
İstihbarat topladıktan sonra saldırganlar, aşağıdakiler gibi kritik sanal makine dosyalarını şifrelemek için fidye yazılımı yüklerini dağıtır:.vmdk(sanal disk dosyaları) ve.vmem(sayfalama dosyaları). Bu, sanallaştırılmış ortamların tamamını erişilemez hale getirir. Daha sonra, genellikle veri sızdırma veya kamuya ifşa etme tehditleriyle birlikte bir fidye talebi yayınlanır.
ESXi sunucularının kayıt mimarisi adli araştırmaları karmaşık hale getirir. Merkezi sistem günlüğü sistemlerinden farklı olarak ESXi, günlükleri birden fazla dosyaya dağıtır; /var/log/shell.log (kabuk etkinliği) ve /var/log/auth.log (kimlik doğrulama olayları).
Bu parçalanma, araştırmacıların çeşitli kaynaklardan gelen kanıtları bir araya getirmesini gerektirir. Ayrıca, SSH tünellemesinin kullanılması, kötü amaçlı etkinlikleri normal idari trafik olarak maskeler.
Birçok kuruluş ESXi ortamlarını aktif olarak izlemediğinden, bu saldırılar uzun süreler boyunca fark edilmeden devam edebilir.
Araştırmacılar, yönetici ayrıcalıklarının sınırlandırılmasını ve ESXi ana bilgisayarlarında SSH’nin varsayılan olarak devre dışı bırakılmasını, yalnızca kesinlikle gerekli olduğunda etkinleştirilmesini öneriyor.
Özellikle uzaktan kod yürütülmesine veya kimlik bilgisi hırsızlığına olanak tanıyan güvenlik açıklarını düzeltmek için yamaların düzenli olarak uygulanması da hayati önem taşımaktadır. Çok faktörlü yöntemler de dahil olmak üzere güçlü kimlik doğrulama politikaları, yönetici kimlik bilgilerinin kaba zorlama olasılığını azaltır.
Bu yeni fidye yazılımı dalgası, saldırganların sanal altyapının gözden kaçan köşelerinden yararlanmaya uyum sağlamaya devam ettiğini gösteriyor.
Kuruluşlar, ESXi ortamlarında güvenlik kontrollerine öncelik vererek ve SSH kullanımını yakından izleyerek tehditlerin önünde kalabilir ve sanallaştırılmış operasyonlarının güvenilirliğini koruyabilir.
Jenkins & Jira’yı Kullanarak Uygulama Güvenliğini CI/CD İş Akışlarınıza Entegre Etme -> Ücretsiz Web Semineri