Saldırganların VMware ESXi ortamlarına artan ilgisinin en son teyitleri, son haftalarda ortaya çıkan ve dünya çapındaki hedefleri vurmaya başlayan iki fidye yazılımı çeşididir.
Luna adlı kötü amaçlı yazılım araçlarından biri Rust’ta yazılmıştır ve Linux ve Windows sistemlerindeki verilere ek olarak ESXi sanal makinelerindeki (VM’ler) verileri şifreleyebilir. Diğeri, C++ ile yazılmış, Luna gibi ESXi VM’lerini hedefleyen ve aynı zamanda Windows ve Linux sistemlerinde de çalışan, hızla çoğalan bir fidye yazılımı çeşidi olan Black Basta.
VMware’in sanal makineleri çalıştırmak için yalın donanım hipervizörü olan ESXi’yi hedefleyen bir fidye yazılımı varyantları koleksiyonuna eklenirler. Çok sayıda kuruluş, tek bir ana bilgisayar sisteminde veya bir ana bilgisayar sistemi kümesinde birden çok VM’yi dağıtmak için teknolojiyi kullanır ve bu da ortamı, yaygın hasara neden olmak isteyen saldırganlar için ideal bir hedef haline getirir.
Lares Consulting’de rekabet mühendisliği direktörü Tim McGuffin, “Ağ ekipmanı gibi altyapı hizmetleri ve ESXi gibi barındırma altyapısı, talep üzerine kolayca yamalanamaz” diyor. “Çok sayıda sunucu aynı anda şifrelenebildiği veya saldırıya uğrayabildiği için, bu hizmetlere saldırmak, etki için tek durak noktası sağlar.”
ESXi ortamlarını hedefleyen diğer kötü amaçlı yazılım örnekleri arasında Cheerscrypt, LockBit, RansomEXX ve Hive yer alır.
Platformlar Arası Fidye Yazılımı Tehdidi
Kaspersky’den araştırmacılar Luna’yı ilk olarak geçen ay vahşi doğada gördü. Onların analizi
kötü amaçlı yazılımın, farklı işletim sistemleri arasında kolayca taşınabilmeleri için Rust ve Golang gibi platformdan bağımsız dillerde yazılmış diğer birkaç yeni varyantın eğilimine girdiğini gösterir. Araştırmacılar ayrıca, kötü amaçlı yazılımın, kurban sistemlerindeki verileri şifrelemek için biraz nadir bir AES ve x25519 şifreleme protokolleri kombinasyonu kullandığını buldu. Güvenlik sağlayıcısı, kötü amaçlı yazılımın operatörünün büyük olasılıkla Rusya merkezli olduğunu değerlendirdi.
Kaspersky’nin Şubat ayından beri takip ettiği bir fidye yazılımı çeşidi olan Black Basta’nın son sürümüne ilişkin analizi, kötü amaçlı yazılımın artık ESXi VM’lerinde belirli dizinleri veya tüm “/vmfs/volumes” klasörünü şifreleyebilmesi için değiştirildiğini gösteriyor. Kötü amaçlı yazılım, kurban sistemlerindeki dosyaları şifrelemek için ChaCha20 256 bit şifrelemeyi kullanır. Ayrıca, virüslü sistemlerdeki tüm işlemcilerin görev üzerinde aynı anda çalışmasını sağlayarak şifreleme sürecini hızlandırmak için çoklu iş parçacığı kullanır.
Şubat ayında ortaya çıktığından beri, Black Basta operatörleri dünya çapında en az 40 kuruluştan ödün vermeyi başardı. Kurbanlar arasında ABD ve diğer birçok ülkedeki imalat ve elektronik sektörlerindeki kuruluşlar yer alıyor. Kaspersky’ye göre mevcut telemetri, tehdit aktörünün yakında Avrupa, Amerika Birleşik Devletleri ve Asya’daki diğer isabetleri tebeşirleyebileceğini gösteriyor.
Geniş Hasar Vermek İçin Bir Hedef
Güvenlik uzmanları, ESXi sistemlerini hedef alan fidye yazılımlarının yayılmasının, bu teknolojiyi kullanan kuruluşlar için büyük bir tehdit oluşturduğunu belirtti. Bir EXSi ana bilgisayar sistemine erişim elde eden bir saldırgan, üzerinde çalışan tüm sanal makinelere ve ana bilgisayarın kendisine bulaşabilir. Ana bilgisayar, paylaşılan depolama birimlerine sahip daha büyük bir kümenin parçasıysa, bir saldırgan kümedeki tüm VM’lere de bulaşabilir ve yaygın hasara neden olabilir.
McGuffin, “Bir VMware konuk sunucusu işletim sistemi düzeyinde şifrelenmişse, VMware yedeklerinden veya anlık görüntülerinden kurtarma oldukça kolay olabilir” diyor. ‘[But] konukları şifrelemek için VMware sunucusunun kendisi kullanılıyorsa, bu yedekler ve anlık görüntüler de büyük olasılıkla şifrelenir.” Böyle bir saldırıdan kurtulmak için önce altyapının ve ardından sanal makinelerin kurtarılması gerekir. “Kuruluşlar, yedeklemeler için gerçekten çevrimdışı depolamayı düşünmelidir. Saldırganların şifrelemesi için kullanılamazlar,” diye ekliyor McGuffin.
Güvenlik açıkları, saldırganların ESXi’ye olan ilgisini artıran başka bir faktördür. VMware, son aylarda birden fazla güvenlik açığını açıkladı. Örneğin, şirket şubat ayında beş kusuru açıkladı – önemli ve kritik olanlar dahil – bunlar ESXi’yi etkiledi (CVE-2021-22040, CVE-2021-22041, CVE-2021-22042, CVE-2021-22043 ve CVE-2021-22050). Aynı ay, VMware, teknolojide bir yığın taşması güvenlik açığı olduğunu duyurdu (CVE-2021-22045) ve şirketin geçtiğimiz yıl boyunca ifşa ettiği, kritik bir uzaktan kod yürütme kusuru da dahil olmak üzere, orta ila düşük önem derecesine sahip birçok başka kusur oldu.
Delinea baş güvenlik bilimcisi ve danışman CISO’su Joseph Carson, “Son aylarda, VMware ESXi’nin birkaç dikkate değer güvenlik açığı ifşası ve yaması vardı, bu da saldırganların bu ortamları hedeflemeye artan ilgi göstermesinin nedeni olabilir” diyor. Bu sanal ortamların çoğu, güçlü bir yedekleme ve anlık görüntü stratejisine sahip olma eğilimindedir. Ancak saldırganlar, yedekleme sistemlerine de fidye yazılımı dağıtabilirlerse önemli bir etkiye neden olabilir, diyor.
Carson, VMware çalıştıran kuruluşların risk değerlendirmeleri yapmasını ve yama uygulandıklarından ve doğru şekilde yapılandırıldıklarından emin olmak için bilinen güvenlik açıklarını ve yanlış yapılandırmaları sürekli olarak kontrol etmelerini savunuyor. Ayrıca, yalnızca yetkili çalışanların bu sistemlere erişimini sağlamak için İnternete bakan sistemlerin güçlü erişim kontrollerine sahip olduğundan emin olmaları gerekir.
Blumira’nın baş teknoloji sorumlusu ve kurucu ortağı Matthew Warner, saldırganların ESXi ortamlarına olan ilgisinin bir başka olası nedeni olarak Log4j güvenlik açığına işaret ediyor. “VMware, Log4i’yi kullanan ve bu güvenlik açığından etkilenen inanılmaz derecede geniş bir çözüm yelpazesine sahip” diyor. VMware, azaltma rehberliği sağlamak için hızlı davrandı. Ancak birçoğunun hafifletme tavsiyesini görmezden gelmesi ve şu anda fidye yazılımı tedarikçilerinin hedefi olması muhtemel, diyor.
Warner, “VMware Horizon’un İnternet’e dönük olması gereken bir durum neredeyse hiç yoktur” diyor. “Altyapı için anlatılmamış miktarda risk oluşturuyor.” Blumira, VMware Horizon sunucularının, güvenlik duvarlarındaki erişim kontrolü sorunları nedeniyle, amaca yönelik olarak değil, maruz kaldığı birkaç örnekle karşılaştı. “Bu, DMZ ve İnternet maruziyetinizin ortamınızda sürekli olarak izlenmesi gerektiğinin iyi bir hatırlatıcısı olarak hizmet ediyor” diye savunuyor.