ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), etkilenen kurbanların ESXiArgs fidye yazılımı saldırılarından kurtulmaları için bir şifre çözücü yayınladıktan sonra, tehdit aktörleri daha fazla veriyi şifreleyen güncellenmiş bir sürümle geri döndü.
Yeni varyantın ortaya çıkışı, bildirildi çevrimiçi bir forumda bir sistem yöneticisi tarafından, başka bir katılımcının 128 MB’tan büyük dosyaların verilerinin %50’sinin şifreleneceğini ve bu durumun kurtarma sürecini daha zor hale getireceğini belirtmesi.
Bir başka dikkate değer değişiklik, Bitcoin adresinin fidye notundan kaldırılmasıdır; saldırganlar artık kurbanları cüzdan bilgilerini almak için Tox üzerinden kendileriyle iletişime geçmeye çağırmaktadır.
Censys, “tehdit aktörleri, araştırmacıların ödemelerini takip ettiğini fark ettiler ve fidye yazılımını yayınlamadan önce, orijinal varyanttaki şifreleme sürecinin atlatılmasının nispeten kolay olduğunu biliyor olabilirler.” söz konusu bir yazıda.
“Başka bir deyişle: izliyorlar.”
Kitle kaynaklı platform Ransomwhere tarafından paylaşılan istatistikler ortaya çıkarmak 9 Şubat 2023 itibarıyla 1.252 kadar sunucuya ESXiArgs’ın yeni sürümü bulaşmış olup, bunların 1.168’i yeniden bulaşmadır.
Fidye yazılımı salgınının Şubat başında başlamasından bu yana, 3.800’den fazla benzersiz sunucunun güvenliği ihlal edildi. A çoğunluk enfeksiyonların oranı Fransa, ABD, Almanya, Kanada, Birleşik Krallık, Hollanda, Finlandiya, Türkiye, Polonya ve Tayvan’da bulunuyor.
Cheerscrypt gibi ESXiArgs ve PrideLockerolan Babuk dolabına dayanmaktadır. kaynak kodu sızdırıldı içinde Eylül 2021. Ancak onu diğer fidye yazılımı ailelerinden ayıran çok önemli bir özellik, bir veri sızıntısı sitesinin olmamasıdır; hizmet olarak fidye yazılımı (RaaS) modeli.
Siber güvenlik şirketi Intel471, “Fidyeler iki bitcoinin biraz üzerinde (47.000 ABD Doları) olarak belirlendi ve kurbanlara ödemeleri için üç gün verildi.” söz konusu.
Başlangıçta izinsiz girişlerin VMware ESXi’deki (CVE-2021-21974) iki yıllık, artık yamalanmış bir OpenSLP hatasının kötüye kullanılmasıyla ilgili olduğundan şüphelenilse de, ağ bulma protokolünün devre dışı bırakıldığı cihazlarda ihlaller rapor edildi.
VMware, o zamandan beri, yazılımındaki sıfır gün güvenlik açığının fidye yazılımını yaymak için kullanıldığını gösteren hiçbir kanıt bulamadığını söyledi.
Bu, etkinliğin arkasındaki tehdit aktörlerinin yararlanıyor olabileceğini gösterir. bilinen birkaç güvenlik açığı ESXi’de kendi avantajlarına göre, kullanıcıların en son sürüme güncellemek için hızla hareket etmesini zorunlu kılar. Saldırılar henüz bilinen bir tehdit aktörü veya grubuyla ilişkilendirilmedi.
Arctic Wolf, “Fidye notuna göre, kampanya tek bir tehdit aktörü veya grupla bağlantılı.” işaret etti. “Daha yerleşik fidye yazılımı grupları, bir izinsiz giriş gerçekleştirmeden önce genellikle potansiyel kurbanlar üzerinde OSINT uygular ve fidye ödemesini algılanan değere göre ayarlar.”
Siber güvenlik şirketi Rapid7 söz konusu CVE-2021-21974’e karşı savunmasız olan 18.581 internete dönük ESXi sunucusu buldu ve ayrıca RansomExx2 aktörlerinin fırsatçı bir şekilde hassas ESXi sunucularını hedef aldığını gözlemledi.
Akamai’de güvenlik teknolojisi ve stratejisi direktörü Tony Lauro, “Bu özel ihlalin dolar üzerindeki etkisi düşük görünse de, siber saldırganlar kuruluşları binlerce kesintiyle öldürmeye devam ediyor” dedi.
“ESXiArgs fidye yazılımı, sistem yöneticilerinin yamaları yayınlandıktan sonra neden hızlı bir şekilde uygulamaları gerektiğinin ve saldırganların saldırılarını başarılı kılmak için ne kadar ileri gideceklerinin en iyi örneğidir. güvenmek.”
