ESXi sunucularına ve VMware sanal makinelerine ultra yüksek hızlı saldırılar. Sophos araştırmacıları yeni Python fidye yazılımını keşfetti. "Python Fidye Yazılımı Komut Dosyası Şifreleme için ESXi Sunucusunu Hedefliyor" başlıklı rapor daha derin bir içgörü sağlıyor.
Sophos, siber suçluların ESXi hipervizörleri üzerinde çalışan sanal makinelere saldırmak ve bunları şifrelemek için kullandıkları yeni bir Python tabanlı fidye yazılımının ayrıntılarını yayınladı. Sophos Labs uzmanları, "Python Fidye Yazılımı Komut Dosyası Şifreleme için ESXi Sunucusunu Hedefliyor" başlıklı raporda, izinsiz girişten şifrelemeye kadar üç saatten kısa süren yüksek hızlı bir saldırıyı anlatıyor.
VMware tarafından hedeflenen ESXi platformları
Sophos'un baş araştırmacısı Andrew Brandt, "Bu, Sophos'un şimdiye kadar araştırdığı en hızlı fidye yazılımı saldırılarından biri ve görünüşe göre ESXi platformunu hedefliyor" dedi. "Python, fidye yazılımı için yaygın olarak kullanılmayan bir programlama dilidir. Ancak Python, ESXi gibi Linux tabanlı sistemlere önceden yüklenmiştir, bu nedenle bu tür sistemlere Python tabanlı saldırılar mümkündür. VMware'in ESXi sunucuları, potansiyel olarak görev açısından kritik uygulamalar veya hizmetler çalıştıran birden çok sanal makineye aynı anda saldırabilme yetenekleri nedeniyle fidye yazılımı suçluları için çekici bir hedeftir. Hipervizörlere yapılan saldırılar hem hızlı hem de son derece yıkıcı olabilir. DarkSide ve REvil gibi fidye yazılımı grupları, saldırılarında ESXi sunucularını hedef alıyor.”
İncelenen saldırının seyri
Soruşturma, saldırının Pazar günü saat 0:30'da, alan yöneticisi için de kimlik bilgilerine sahip bir bilgisayarda çalışan TeamViewer hesabının kaçırılmasıyla başladığını ortaya çıkardı.
Python betiği, klasik fidye yazılımı fidye notunun bulunduğu metni içerir.
Sadece 10 dakika sonra, saldırganlar ağdaki hedefleri taramak için Gelişmiş IP Tarayıcı aracını kullanır. SophosLabs, BT ekiplerinin komutlar ve güncellemeler için kullandığı bir programlama arabirimi olan etkin bir kabuğa sahip olduğu için ESXi sunucusunun ağda savunmasız olduğuna inanıyor. Bu, siber suçluların, sanal makineler tarafından kullanılan depolama da dahil olmak üzere ESXi sistemine uzaktan erişim sağlayan, etki alanı yöneticisinin makinesine Bitvise adlı güvenli bir ağ iletişim aracı kurmalarına izin verdi. Sabah 3:40 civarında fidye yazılımı etkinleştirildi ve ESXi sunucularının sabit disklerini şifreledi.
Daha fazla güvenlik için not
"Ağlarında ESXi veya diğer hipervizörleri çalıştıran yöneticiler en iyi güvenlik uygulamalarını izlemelidir. Bu, güçlü parolalar kullanmayı ve mümkün olan her yerde çok faktörlü kimlik doğrulamayı kullanmayı içerir" diyor Brandt. "ESXi Kabuğu, yama kurulumu gibi, çalışanların onu rutin bakım için kullanmadığı zamanlarda devre dışı bırakılabilir ve devre dışı bırakılmalıdır. BT ekibi, sunucu konsolu kontrollerini veya satıcı tarafından sağlanan yazılım yönetim araçlarını kullanarak bunu kontrol edebilir.”
Sophos Intercept X gibi uç nokta ürünleri, fidye yazılımı ve diğer saldırıların eylemlerini ve davranışlarını tespit ederek sistemleri korur. Dosyaları şifrelemeye yönelik tüm girişimler buna göre engellenecektir. ESXi hipervizörleri için özel güvenlik önerileri çevrimiçi olarak burada mevcuttur.
Daha fazlası Sophos.com'da
Sophos Hakkında Sophos, 100 ülkede 150 milyondan fazla kullanıcı tarafından güvenilmektedir. Karmaşık BT tehditlerine ve veri kaybına karşı en iyi korumayı sunuyoruz. Kapsamlı güvenlik çözümlerimizin kurulumu, kullanımı ve yönetimi kolaydır. Sektördeki en düşük toplam sahip olma maliyetini sunarlar. Sophos uç noktalar, ağlar, mobil cihazlar, e-posta ve web için ödüllü şifreleme çözümleri ve güvenlik çözümleri sunar. Tescilli analiz merkezlerinden oluşan küresel ağımız SophosLabs'tan da destek var. Sophos'un genel merkezi Boston, ABD ve Oxford, İngiltere'dedir.