Được biết, cuộc tấn công đã sử dụng ransomware ESXiArgs - một mẫu mã độc mới khiến việc khôi phục các máy ảo VMware ESXi bị mã hóa trở nên khó khăn hơn nhiều, nếu không muốn nói là không thể.
Theo báo cáo sơ bộ, chiến dịch tấn công nhắm vào các máy chủ VMware ESXi - công cụ giám sát máy ảo phổ biến dành cho doanh nghiệp được phát triển bởi VMware được diễn ra từ đầu tháng 2/2023 thông qua một lỗ hổng thực thi mã từ xa tận ... 2 năm tuổi và đã có bản vá từ ngày 23 tháng 2 năm 2021.
VMware trong cảnh báo riêng được phát hành vào thời điểm đó đã mô tả sự cố này là lỗ hổng tràn bộ đệm OpenSLP có thể dẫn đến việc thực thi mã tùy ý.
Lỗ hổng bị khai thác có thể là CVE-2021-21974 (điểm CVSS: 8.8), một lỗi tràn bộ đệm heap trong dịch vụ OpenSLP. Bằng cách kết nối mạng với dịch vụ openSPL mở cổng 427, kẻ tấn công có thể khai thác lỗ hổng này để triển khai một phần mềm tống tiền ESXiArgs.
Đáng lưu ý, kể từ khi công bố về lỗ hổng và đưa ra bản vá cho người dùng, các phiên bản sau đó của VMware ESXi đã không còn thiết lập mở mặc định cổng 427. Tuy nhiên, vẫn có một số đơn vị do chưa cập nhật bản vá hoặc do các đơn vị cấu hình thủ công mà đến nay cổng này vẫn được mở, tạo điều kiện cho kẻ tấn công khai thác lỗ hổng.
Theo VMware, CVE-2021-21974 ảnh hưởng đến các phiên bản sau:
* Phiên bản ESXi 7.x trước ESXi70U1c-17325551
* Phiên bản ESXi 6.7.x trước ESXi670-202102401-SG
* Phiên bản ESXi 6.5.x trước ESXi650-202102101-SG
Các cuộc tấn công đang được phát hiện trên toàn cầu. Người ta nghi ngờ rằng các vụ xâm phạm có liên quan đến một chủng ransomware mới dựa trên Rust có tên là Nevada xuất hiện vào tháng 12/2022.
Các dòng ransomware khác được biết là đã sử dụng Rust trong những tháng gần đây bao gồm BlackCat, Hive, Luna, Nokoyawa, RansomExx và Agenda.
Các tác nhân đang mời cả các bên sử dụng tiếng Nga và tiếng Anh cộng tác với một số lượng lớn một số nhà môi giới truy cập ban đầu (IABs) trên web đen.
Đáng chú ý, nhóm đứng sau ransomware Nevada cũng đang tự mua quyền truy cập đã bị xâm phạm, nhóm này có một nhóm chuyên trách việc hậu khai thác và tiến hành xâm nhập mạng vào các mục tiêu mà chúng quan tâm.
Cheers!
--------------------------------------------------------------------------------
--------------------------------------------------------------------------------
Security Alert!!!
We hacked your company successfully
All files have been stolen and encrypted by us
If you want to restore files or avoid file leaks, please contact us
--------------------------------------------------------------------------------
Attention!!!
Contact us within 3 days, otherwise we will expose some data and raise the price
Don't try to decrypt important files, it may damage your files
Don't trust who can decrypt, they are liars,no one can decrypt without key file
If you don't contact us, we will notify your customers of the data breach by email and text message
And sell your data to your opponents or criminals, data may be made release
--------------------------------------------------------------------------------
Information
Web Site Live Chat
You can visit this site and contact us through widgets or get our email address from this site:
hXXp://.onion
Data Release Site
If you don't pay and no one wants to buy your data, it will appear here
hXXp://rwiajgajdr4kzlnrj5zwebbukpcbrjhupjmk6gufxv6tg7myx34iocad.onion
--------------------------------------------------------------------------------
Notice
How to access URLs with onion suffix?
hXXps://www.comparitech[.]com/blog/vpn-privacy/access-dark-web-safely-vpn/
Or watch this video:
hXXps://www.youtube[.]com/watch?v=4pIi9yTWuRw
Tuy nhiên, theo báo cáo của Bleeping Computer, các ghi chú đòi tiền chuộc trong các cuộc tấn công không có điểm tương đồng với phần mềm tống tiền Nevada, thêm vào đó, chủng này đang được theo dõi dưới tên ESXiArgs.
Để giảm thiểu nguy cơ bị tấn công bởi chiến dịch trên, các chuyên gia bảo mật khuyến cáo các đơn vị đang sử dụng máy chủ VMware ESXi cần:
- Nhanh chóng rà soát và cập nhật bản vá ngay lập tức.
- Nếu chưa thể cập nhật bản vá các quản trị viên cần tắt dịch vụ OpenSLP trong ESXI đồng thời thiết lập chặn IoCs IP trên Firewall:
104.152.52[.]55
193.163.125[.]138
43.130.10[.]173
104.152.52[.]10/24
- Hạn chế các dịch vụ không cần thiết của VMware public ra Internet và giới hạn các IP được phép truy cập.
- Định kỳ backup dữ liệu, tách biệt hoàn toàn dữ liệu sao lưu khỏi máy chủ VMware ESXi đang triển khai.
- Nếu không may máy chủ của đơn vị bị mã hóa dữ liệu, hãy bình tĩnh liên hệ với các đơn vị có chuyên môn để xử lý sự cố thay vì gửi tiền chuộc cho tin tặc.
Daniel - Inntek