BSI'ya göre, Alman şirketlerinin orta üç haneli sayısı da dahil olmak üzere dünya çapında binlerce sunucuyu etkileyen fidye yazılımı dalgasında, saldırganlar sunucu çiftliklerini - sözde ESXi sunucularını - ve dolayısıyla her BT'nin kalbini hedefliyor. manzara. Şubat 2021'deki güvenlik açığıyla çalışmaya devam eden eski ve yama uygulanmamış VMware ESXi sunucuları özel olarak saldırıya uğradı.
BSI - Federal Bilgi Güvenliği Ofisi'ne göre, VMware'in ESXi sanallaştırma çözümünü çalıştıran binlerce sunucuya fidye yazılımı bulaştı ve birçoğu da yaygın bir küresel saldırıda şifrelendi. VMware ESXi sunucularına yönelik saldırıların bölgesel odak noktası Fransa, ABD, Almanya ve Kanada idi - diğer ülkeler de etkilendi. Failler, uzun süredir bilinen bir güvenlik açığından yararlandı. CVE-2021-21974 olarak listelenen güvenlik açığının kendisi ve CVSS'ye göre şiddeti 8.8 olan "yüksek" - Şubat 2021'den beri üreticiden bir yama var.
Trend Micro, ESXi sunucu saldırısı hakkında böyle diyor
🔎 Trend Micro: Richard Werner, İş Danışmanı (Resim: Trend Micro).
“Şirketlerin bu tür üçüncü taraf sorunlarına hazırlıklı olmadığını defalarca görüyoruz. Microsoft için düzenli bir yama süreci vardır, ancak bu durumda VMware gibi üçüncü taraf üreticiler için yoktur. Çünkü yama sayısı onun için ayrı bir süreç yaratmayı haklı kılmıyor. Ek olarak, şirketler tek bir yama yüklemek için sunucu gruplarını kapatmıyorlar. Saldırganlar, kurbanlarının karşılaştığı zorlukların farkındadır ve bu nedenle genellikle Microsoft teknolojisine dayalı olmayan güvenlik açıklarından yararlanır.
ESXi güvenlik açığı zaten Ekim 2020'de VMware'e bildirildi
Aslında, saldırganlar tarafından kullanılan güvenlik açıklarının yalnızca yaklaşık yüzde 30'u teknoloji devinin yazılımlarına güveniyor. Bilgisayar korsanlarının yama uygulanmamış yazılım güvenlik açıklarından aktif olarak yararlanmaları alışılmadık bir durum değildir. Trend Micro'nun araştırmasına göre, dünya çapındaki tüm şirketlerin yaklaşık yüzde 86'sında bu tür boşluklar var. Trend Micro'nun Sıfır Gün Girişimi, CVE-2021-21974 olarak tanımlanan ve CVSS tarafından 8.8 önem derecesiyle "yüksek" olarak derecelendirilen güvenlik açığını Ekim 2020'de VMware'e bildirdi ve ardından güvenlik açığının Sorumlu İfşasını (sorumlu açıklama) ortaklaşa yayınladı" diyor. Richard Werner, İş Danışmanı Trend Micro.
Check Point'in ESXi sunucu saldırısı hakkında söylediği şey bu
“Geçtiğimiz birkaç gün içinde meydana gelen kesintiler, yalnızca Fransa ve İtalya gibi Avrupa ülkelerinde değil, dünya çapında büyüyen bir tehdit olan bu fidye yazılımı saldırısına kadar izlenebilir. Geçen yılın Temmuz ayında, Check Point Research'ün ThreatCloud'u dünya çapında fidye yazılımlarında yıldan yıla yüzde 59'luk bir artış bildirdi. Bu artış ve dün bildirilen saldırı ile siber tehditleri önlemenin işletmeler ve kuruluşlar için en önemli öncelik olması gerektiğini tekrarlamakta yarar var.
Windows olmayan makineler bile artık risk altında
ESXi sunucularına yönelik bu büyük saldırı, Windows dışı makinelerde şimdiye kadar bildirilen en büyük siber saldırılardan biri olarak kabul ediliyor. Durumu daha da endişe verici kılan ise, yakın zamana kadar fidye yazılımı saldırılarının Windows tabanlı makinelerle sınırlı olması. Saldırganlar, Linux sunucularının kurum ve kuruluşların sistemleri için ne kadar önemli olduğunu anladılar,” diyor Orta Avrupa / DACH Başkan Yardımcısı Lothar Geuenich. Check Point Yazılım Teknolojileri.
Barracuda, ESXi sunucu saldırısı hakkında böyle diyor
🔎 Barracuda Networks: Stefan van der Wal, Danışmanlık Çözümleri Mühendisi, EMEA, Uygulama Güvenliği (Resim: Barracuda Networks).
"Avrupa'da ve başka yerlerde yama uygulanmamış VMware ESXi sistemlerine yönelik bildirilen yaygın fidye yazılımı saldırıları, 2021'de yama uygulanan bir güvenlik açığından yararlanmış gibi görünüyor. Bu, kritik yazılım altyapı sistemlerini kesinlikle zamanında güncellemenin ne kadar önemli olduğunu gösterir. Şirketlerin yazılımları güncellemesi her zaman kolay değildir. Örneğin bu yama durumunda, şirketlerin BT altyapılarının önemli bölümlerini geçici olarak devre dışı bırakması gerekir. Ancak buna katlanmak, potansiyel olarak kötü amaçlı bir saldırıya maruz kalmaktan çok daha iyidir.
ESXi kullanan kuruluşlar derhal en son sürüme güncelleme yapmalıdır.
Sanal altyapının güvenliğini sağlamak kritik öneme sahiptir. Sanal makineler, genellikle işe duyarlı hizmetleri veya işlevleri çalıştırdıkları için fidye yazılımları için çekici bir hedef olabilir ve başarılı bir saldırı, yaygın kesintiye neden olabilir. Bir sanal makinenin yönetim konsoluna erişimin korunduğundan ve örneğin kurumsal ağdaki güvenliği ihlal edilmiş bir hesap aracılığıyla kolayca erişilemeyeceğinden emin olmak özellikle önemlidir," dedi EMEA, Uygulama Güvenliği Danışmanlık Çözümleri Mühendisi Stefan van der Wal. Barracuda Networks.
Artic Wolf, ESXi sunucu saldırısı hakkında böyle diyor
Başarılı fidye yazılımı saldırılarının azaldığına dair raporlara rağmen, Avrupa ve Kuzey Amerika'daki sunuculara yönelik küresel saldırı, fidye yazılımının dünya çapındaki işletmeler ve kuruluşlar için hâlâ gerçek bir tehdit olduğunu gösteriyor. Suçlular, VMWare'deki bir güvenlik açığından yararlanarak birden çok sektöre ve hatta ülkeye ürün tedarik eden büyük bir tedarikçiye saldırmayı başardı. Bu nedenle, saldırının bir süre daha binlerce insanda yaygın bir rahatsızlığa neden olmaya devam edeceğini varsaymak güvenlidir.
İşletmeler sürekli olarak mevcut güvenlik duruşunu gözden geçirmelidir
“2022'nin ilk yarısında, tüm güvenlik olaylarının yarısından fazlasına harici güvenlik açıklarının kullanılması neden oldu. Gözlemlenebilen bir eğilim: Tehdit aktörleri, özellikle bilinen güvenlik açıkları aracılığıyla, giderek artan bir şekilde her büyüklükteki kuruluşu hedefliyor. Bu nedenle, kuruluşların siber güvenlik temellerini doğru bir şekilde belirlemeleri her zamankinden daha önemlidir, örn. B. Tutarlı ve düzenli yama yoluyla.
Bu, doğru teknolojiyi belirlemek için uzmanlarla çalışmak, çalışanları doğru uygulamada eğitmek ve mevcut güvenlik durumunu sürekli gözden geçirmek anlamına gelir. Bu şekilde, yeni tehditlere tepki vermek ve kendilerini mümkün olan en iyi şekilde korumak için mümkün olan en iyi konumda olmalarını sağlayabilirler. Ayrıca, belirli sistemlerin çökmesi durumunda, acil durum planları kuruluşların faaliyetlerine devam etmesine izin vermek için kritik öneme sahiptir" dedi. Arktik Kurt.
Tehtris, ESXi sunucu saldırısı hakkında böyle diyor
TEHTRIS, hafta sonu bilinen ESXiArgs fidye yazılımı saldırısının bir analizini yayınladı. Güvenlik uzmanları, saldırılardan önce gerçek saldırı gerçekleşmeden önce bir dizi faaliyetin gerçekleştiği sonucuna vardı. Güvenlik araştırmacıları, araştırmaları için özellikle mevcut saldırılarda büyük önem taşıyan 427 numaralı bağlantı noktasıyla ilgili etkinlikleri analiz ettiler.
ESXiArgs fidye yazılımı: Saldırılar sadece hafta sonundan beri değil
🔎 Tehtris tarafından ESXi sunucularında 427 numaralı bağlantı noktası çevresinde kaydedilen etkinlikler (Resim: Tehtris).
ESXiArgs siber kampanyası, adını her şifrelenmiş belge için bir .args dosyası oluşturduğu için almıştır. Dünya çapındaki bal küpü ağı sayesinde Tehtris, hafta sonu bilinen saldırının birkaç gün önce başlamadığını tespit edebildi. 1 Ocak 2023'ten bu yana Tehtris'ten alınan verilere dayanan aşağıdaki zaman çizelgesi, 10 ve 24 Ocak gibi erken bir tarihte 427 numaralı bağlantı noktasına yapılan saldırılarda ani bir artış olduğunu gösteriyor. Bu faaliyetler daha sonra Şubat ayı başlarında yeniden toparlandı.
Tehtris'in bal küpü ağında bu bağlamda izlediği kötü niyetli IP'lerden bazıları 3 Şubat'tan önce radarın altında kalmaya çalıştı. Sadece tek bir arama yaparak çok sağduyulu davranırken, çok sayıda bal küpüne ulaştılar. Küresel bal küpü paneline bakıldığında, 427 numaralı bağlantı noktasına gelen saldırıların çoğunun ABD'nin doğu bölümünü, Asya-Pasifik'in kuzeydoğu bölümünü ve Batı Avrupa'yı hedef aldığını ve hemen hemen aynı seviyede olduğunu gösteriyor. Saldırıların kaynaklandığı IP adreslerinin analizi de dahil olmak üzere daha fazla araştırma sonuçları bulunabilir. Tehtris'in son blog yazısında.