Blog

Ransomware mới khai thác lỗi VMware nhắm mục tiêu vào các máy chủ ESXi

Ransomware mới khai thác lỗi VMware nhắm mục tiêu vào các máy chủ ESXi

Được biết, cuộc tấn công đã sử dụng ransomware ESXiArgs - một mẫu mã độc mới khiến việc khôi phục các máy ảo VMware ESXi bị mã hóa trở nên khó khăn hơn nhiều, nếu không muốn nói là không thể.

Theo báo cáo sơ bộ, chiến dịch tấn công nhắm vào các máy chủ VMware ESXi - công cụ giám sát máy ảo phổ biến dành cho doanh nghiệp được phát triển bởi VMware được diễn ra từ đầu tháng 2/2023 thông qua một lỗ hổng thực thi mã từ xa tận ... 2 năm tuổi và đã có bản vá từ ngày 23 tháng 2 năm 2021.

VMware trong cảnh báo riêng được phát hành vào thời điểm đó đã mô tả sự cố này là lỗ hổng tràn bộ đệm OpenSLP có thể dẫn đến việc thực thi mã tùy ý.

Lỗ hổng bị khai thác có thể là CVE-2021-21974 (điểm CVSS: 8.8), một lỗi tràn bộ đệm heap trong dịch vụ OpenSLP. Bằng cách kết nối mạng với dịch vụ openSPL mở cổng 427, kẻ tấn công có thể khai thác lỗ hổng này để triển khai một phần mềm tống tiền ESXiArgs.

Đáng lưu ý, kể từ khi công bố về lỗ hổng và đưa ra bản vá cho người dùng, các phiên bản sau đó của VMware ESXi đã không còn thiết lập mở mặc định cổng 427. Tuy nhiên, vẫn có một số đơn vị do chưa cập nhật bản vá hoặc do các đơn vị cấu hình thủ công mà đến nay cổng này vẫn được mở, tạo điều kiện cho kẻ tấn công khai thác lỗ hổng.

Theo VMware, CVE-2021-21974 ảnh hưởng đến các phiên bản sau:
  * Phiên bản ESXi 7.x trước ESXi70U1c-17325551
  * Phiên bản ESXi 6.7.x trước ESXi670-202102401-SG
  * Phiên bản ESXi 6.5.x trước ESXi650-202102101-SG

Các cuộc tấn công đang được phát hiện trên toàn cầu. Người ta nghi ngờ rằng các vụ xâm phạm có liên quan đến một chủng ransomware mới dựa trên Rust có tên là Nevada xuất hiện vào tháng 12/2022.

Các dòng ransomware khác được biết là đã sử dụng Rust trong những tháng gần đây bao gồm BlackCat, Hive, Luna, Nokoyawa, RansomExx và Agenda.

Các tác nhân đang mời cả các bên sử dụng tiếng Nga và tiếng Anh cộng tác với một số lượng lớn một số nhà môi giới truy cập ban đầu (IABs) trên web đen.

Đáng chú ý, nhóm đứng sau ransomware Nevada cũng đang tự mua quyền truy cập đã bị xâm phạm, nhóm này có một nhóm chuyên trách việc hậu khai thác và tiến hành xâm nhập mạng vào các mục tiêu mà chúng quan tâm.

 

Cheers! 

-------------------------------------------------------------------------------- 

-------------------------------------------------------------------------------- 

Security Alert!!!  

We hacked your company successfully  

All files have been stolen and encrypted by us  

If you want to restore files or avoid file leaks, please contact us  

-------------------------------------------------------------------------------- 

Attention!!!  

Contact us within 3 days, otherwise we will expose some data and raise the price  

Don't try to decrypt important files, it may damage your files  

Don't trust who can decrypt, they are liars,no one can decrypt without key file  

If you don't contact us, we will notify your customers of the data breach by email and text message 

And sell ​​your data to your opponents or criminals, data may be made release  

-------------------------------------------------------------------------------- 

Information 

Web Site Live Chat  

You can visit this site and contact us through widgets or get our email address from this site:  

hXXp://.onion  

Data Release Site  

If you don't pay and no one wants to buy your data, it will appear here  

hXXp://rwiajgajdr4kzlnrj5zwebbukpcbrjhupjmk6gufxv6tg7myx34iocad.onion  

-------------------------------------------------------------------------------- 

Notice  

How to access URLs with onion suffix?  

hXXps://www.comparitech[.]com/blog/vpn-privacy/access-dark-web-safely-vpn/  

Or watch this video:  

hXXps://www.youtube[.]com/watch?v=4pIi9yTWuRw  

Tuy nhiên, theo báo cáo của Bleeping Computer, các ghi chú đòi tiền chuộc trong các cuộc tấn công không có điểm tương đồng với phần mềm tống tiền Nevada, thêm vào đó, chủng này đang được theo dõi dưới tên ESXiArgs.

Để giảm thiểu nguy cơ bị tấn công bởi chiến dịch trên, các chuyên gia bảo mật khuyến cáo các đơn vị đang sử dụng máy chủ VMware ESXi cần:

- Nhanh chóng rà soát và cập nhật bản vá ngay lập tức.

- Nếu chưa thể cập nhật bản vá các quản trị viên cần tắt dịch vụ OpenSLP trong ESXI đồng thời thiết lập chặn IoCs IP trên Firewall:
  104.152.52[.]55
  193.163.125[.]138
  43.130.10[.]173
  104.152.52[.]10/24

- Hạn chế các dịch vụ không cần thiết của VMware public ra Internet và giới hạn các IP được phép truy cập.

- Định kỳ backup dữ liệu, tách biệt hoàn toàn dữ liệu sao lưu khỏi máy chủ VMware ESXi đang triển khai.

- Nếu không may máy chủ của đơn vị bị mã hóa dữ liệu, hãy bình tĩnh liên hệ với các đơn vị có chuyên môn để xử lý sự cố thay vì gửi tiền chuộc cho tin tặc.


Daniel - Inntek

Những công nghệ và sản phẩm “dị” nhất tại CES 2019 5 thiết bị đeo độc đáo vừa ra mắt tại CES 2019