Esxi sanal makine hipervizörlerini etkileyen fidye yazılımı kampanyasında ikinci tur başladı. Şifrelenmiş dosyaların .args uzantısına atıfta bulunan EsxiArgs adlı bu fidye yazılımı geçen Cuma gününden beri aktif ve Fransa’da ve tüm dünyada yayıldı.
Görüldüğü üzere ilk kötü haber Uyku bilgisayarısaldırganlar verilerini kurtarmak için paylaşılan yöntemleri atlamanın bir yolu olarak programlarını zaten güncellediler.
Geliştirilmiş şifreleme
Bir fidye yazılımı sürümüne dayalı olabilecek bu kötü amaçlı program Babuk, hedeflenen dosyaların daha fazla verisini şifrelemek için gerçekten değiştirildi. Başlangıçta, kötü amaçlı yazılım kurbanların dosyalarının yalnızca bir kısmını şifreleyecek şekilde yapılandırıldı; bu, şüphesiz daha hızlı gitmek için bir yoldu, ancak bu, verilerin büyük bir bölümünü açıkta bıraktı.
Bleeping Computer tarafından alıntılanan bir uzmana, Michael Gillespie’ye göre, 128 megabaytın üzerindeki dosyalar artık %50’den fazla şifrelenmiş durumda ve bu da onları muhtemelen kurtarılamaz hale getiriyor. Benzer şekilde, Amerikan medyası da ekliyor, bu yeni işlem yöntemi, bir haftadır paylaşılan veri kurtarma yöntemlerini geçersiz kılıyor.
Tehdit istihbaratı firmasına göre, Türk güvenlik araştırmacıları gerçekten de yaklaşık %60 başarı oranına sahip bir düzeltme bulmuştu. Intel471. ABD siber güvenlik kurumu CISA, ayrıca detaylandırmıştı Birkaç gün önce, virüs bulaşmış dosyalarını kurtarmak için bir komut dosyası, ayrıca CERT-FR tarafından bildirilen araçlar.
yeniden enfeksiyonlar
Birine göre ikinci kötü haber CISA uzmanları, yeni fidye yazılımı kurbanlarının büyük çoğunluğu, ilk dalga sırasında zaten virüs bulaşmış sanal makinelerdir. Bu nedenle, tehlikeye atıldığı düşünülen hizmet SLP yine de devre dışı bırakılmış olsa da, bu yöndeki referansları okuyabiliyoruz. “Ya başka bir güvenlik açığı kullanıldı ya da ilk saldırıdan sonra bir arka kapı kaldı” bir kullanıcıyı merak eder.
Anssi olay müdahale merkezi, 5 Şubat’taki soruşturmalarının bir özetinde, saldırganların izinsiz girişlerinde başarılı olmak için Esxi hipervizörlerinin SLP hizmetindeki bilinen güvenlik açıklarından yararlandıklarını tahmin etti. O sırada CERT-FR, “İstismar kodları en az Mayıs 2021’den beri açık kaynakta mevcuttur”, diyordu. Kendi adına, hiper yönetici üreticisi sanal yazılım Pazartesi günü, bilinmeyen bir kusur olan 0-day’ın kullanıldığını gösteren herhangi bir kanıt bulunmadığını açıkladı.
otomatikleştirme
Arama motoruna göre Şodan, kötü niyetli kampanyadan en çok etkilenen üç ülke Fransa (yerel bir radyo istasyonu ve özellikle Alpes-Maritimes’de bir dernek ile), Amerika Birleşik Devletleri (bir adli kurum ve üniversitelerle) ve Almanya’dır. Olay Müdahale Merkezi’ne göre fidye yazılımı günler içinde en az 3.276 sistemin kurban olduğunu iddia etti. Avusturya.
Kampanya, otomatikleştirilmiş fidye yazılımı saldırılarını, bu hedefli saldırılar olan “Büyük Oyun Avı” ile geçen birkaç yılın ardından yeniden moda haline getiriyor. Hâlâ sonucunu bilmekten çok uzakta olduğumuz kötü niyetli bir operasyon. Geriye tehlikeye atılabilecek on binlerce savunmasız sanal makine kalır.
Yöneticilerin hipervizörlerini yeniden yüklemeleri ve tüm güvenlik yamalarını uygulamaları şiddetle tavsiye edilir.