У хвилі програм-вимагачів, які, за даними BSI, вражають тисячі серверів у всьому світі, включаючи середньо-тризначне число німецьких компаній, зловмисники націлені на ферми серверів - так звані сервери ESXi - і, таким чином, на серце кожної ІТ-системи. пейзаж. Спеціально атаковано застарілі та невиправлені сервери VMware ESXi, які все ще працюють із уразливістю лютого 2021 року.
За даними Федерального відомства з інформаційної безпеки BSI, тисячі серверів, на яких працює рішення віртуалізації VMware ESXi, були заражені програмами-вимагачами, а багато з них також були зашифровані під час широкомасштабної глобальної атаки. Регіональний фокус атак на сервери VMware ESXi був у Франції, США, Німеччині та Канаді – постраждали й інші країни. Зловмисники скористалися давно відомою вразливістю. Сама вразливість, яка вказана як CVE-2021-21974 і по CVSS зі ступенем серйозності 8.8 як "висока" - є патч від виробника з лютого 2021 року.
Ось що говорить Trend Micro про атаку на сервер ESXi
🔎 Trend Micro: Річард Вернер, бізнес-консультант (Зображення: Trend Micro).
«Ми знову і знову бачимо, що компанії не готові до таких сторонніх проблем. Існує регулярний процес виправлення для Microsoft, але не для сторонніх виробників, таких як VMware у цьому випадку. Оскільки кількість патчів не виправдовує створення окремого процесу для нього. Крім того, компанії не просто закривають свою ферму серверів, щоб установити єдиний патч. Зловмисники знають про труднощі, з якими стикаються їхні жертви, і тому часто використовують уразливості, які не базуються на технології Microsoft.
Про вразливість ESXi вже повідомляли VMware у жовтні 2020 року
Насправді лише близько 30 відсотків уразливостей, які використовують зловмисники, покладаються на програмне забезпечення технічного гіганта. Нерідкі випадки, коли хакери активно використовують невиправлені вразливості програмного забезпечення. Згідно з дослідженням Trend Micro, близько 86 відсотків усіх компаній у всьому світі мають такі прогалини. Ініціатива Zero Day від Trend Micro повідомила VMware про вразливість, ідентифіковану як CVE-2021-21974 і оцінену CVSS як «високу» зі ступенем серйозності 8.8, у жовтні 2020 року, а потім спільно опублікувала Відповідальне розкриття вразливості (відповідальне розголошення)», — йдеться в повідомленні. Річард Вернер, бізнес-консультант Компанія Trend Micro.
Ось що Check Point каже про атаку на сервер ESXi
«Збої, які сталися за останні кілька днів, можна точно віднести до цієї атаки програм-вимагачів, яка є зростаючою загрозою не лише в європейських країнах, таких як Франція та Італія, але й у всьому світі. Ще в липні минулого року ThreatCloud Check Point Research повідомила про зростання кількості програм-вимагачів у всьому світі на 59 відсотків порівняно з минулим роком. З огляду на це зростання та атаку, про яку було повідомлено вчора, доцільно повторити, що запобігання кіберзагрозам має бути головним пріоритетом для компаній та організацій.
Навіть машини, відмінні від Windows, тепер під загрозою
Ця масштабна атака на сервери ESXi також вважається однією з найбільших кібератак, про які коли-небудь повідомлялося на комп’ютерах, що не працюють під Windows. Ще більше занепокоєння викликає той факт, що донедавна атаки програм-вимагачів обмежувалися комп’ютерами на базі Windows. Зловмисники усвідомили, наскільки важливі сервери Linux для систем установ і організацій», — каже Лотар Гюніх, віце-президент у Центральній Європі / DACH Технології Check Point Software.
Ось що говорить Barracuda про атаку на сервер ESXi
🔎 Barracuda Networks: Стефан ван дер Валь, інженер із консультаційних рішень, EMEA, Безпека програм (Зображення: Barracuda Networks).
«Поширені атаки програм-вимагачів на невиправлені системи VMware ESXi в Європі та інших країнах, схоже, використовували вразливість, яку було виправлено у 2021 році. Це показує, наскільки важливо абсолютно своєчасно оновлювати системи критичної програмної інфраструктури. Компаніям не завжди легко оновлювати програмне забезпечення. У випадку з цим патчем, наприклад, компанії повинні тимчасово дезактивувати значні частини своєї ІТ-інфраструктури. Але набагато краще змиритися з цим, ніж постраждати від потенційно зловмисної атаки.
Організаціям, які використовують ESXi, слід негайно оновити до останньої версії
Захист віртуальної інфраструктури має вирішальне значення. Віртуальні машини можуть бути привабливою мішенню для програм-вимагачів, оскільки вони часто запускають бізнес-сервіси чи функції, а успішна атака може призвести до широкомасштабних збоїв. Особливо важливо переконатися, що доступ до консолі керування віртуальної машини захищений і не може бути доступний, наприклад, просто через скомпрометований обліковий запис у корпоративній мережі», – сказав Стефан ван дер Валь, інженер із консультаційних рішень, EMEA, Application Security у Мережі Barracuda.
Ось що Artic Wolf говорить про атаку на сервер ESXi
Незважаючи на повідомлення про те, що кількість успішних атак програм-вимагачів зменшується, глобальні атаки на сервери в Європі та Північній Америці показують, що програми-вимагачі все ще є реальною загрозою для компаній і організацій у всьому світі. Використовуючи вразливість у VMWare, злочинці змогли атакувати великого постачальника, який постачає продукцію для багатьох галузей і навіть країн. Тож можна з упевненістю припустити, що атака продовжуватиме спричиняти масові збої для тисяч людей ще деякий час.
Компанії повинні постійно переглядати поточний стан безпеки
«У першій половині 2022 року більше половини всіх інцидентів безпеки були спричинені використанням зовнішніх уразливостей. Тенденція, яку можна спостерігати: суб’єкти загроз все частіше націлюються на організації будь-якого розміру, зокрема через відомі вразливості. Тому для організацій як ніколи важливо правильно визначити основи кібербезпеки, напр. Б. шляхом послідовного та регулярного латання.
Це означає роботу з експертами для визначення потрібної технології, навчання співробітників правильній програмі та постійний перегляд поточної ситуації з безпекою. Таким чином вони можуть бути впевнені, що знаходяться в найкращому положенні, щоб реагувати на нові загрози та захистити себе найкращим чином. Крім того, у разі виходу з ладу певних систем плани на випадок непередбачених ситуацій мають вирішальне значення, щоб дозволити організаціям продовжувати роботу», – сказав Ден Шіаппа, директор із продуктів компанії Арктичний вовк.
Ось що Tehtris говорить про атаку на сервер ESXi
TEHTRIS опублікував аналіз атаки програм-вимагачів ESXiArgs, про яку стало відомо на вихідних. Експерти з безпеки прийшли до висновку, що атакам передувала низка дій до того, як сталася фактична атака. Для свого розслідування дослідники безпеки проаналізували діяльність, пов’язану зокрема з портом 427, який має велике значення в поточних атаках.
Програма-вимагач ESXiArgs: атакує не лише з вихідних
🔎 Дії, зареєстровані Tehtris навколо порту 427 на серверах ESXi (Зображення: Tehtris).
Кіберкампанія ESXiArgs отримала свою назву через те, що для кожного зашифрованого документа створюється файл .args. Завдяки своїй всесвітній мережі приманок Tehtris вдалося визначити, що атака, про яку стало відомо на вихідних, почалася не просто кілька днів тому. Хронологія нижче, заснована на даних Tehtris з 1 січня 2023 року, показує, що сплеск атак на порт 10 стався ще 24 і 427 січня. Потім ця діяльність знову пожвавилася на початку лютого.
Деякі зловмисні IP-адреси, які Tehtris відстежує в цьому контексті у своїй мережі honeypot, намагалися залишитися поза увагою до 3 лютого. Хоча вони були дуже стриманими, зробивши лише один дзвінок, вони охопили велику кількість медівниць. Перегляд глобальної панелі honeypot показує, що більшість вхідних атак на порт 427 спрямовані на східну частину США, північно-східну частину Азіатсько-Тихоокеанського регіону та Західну Європу, і практично на одному рівні. Можна знайти подальші результати розслідування, включаючи аналіз IP-адрес, з яких походять атаки в останній публікації блогу Tehtris.