在最近的 ESXiArgs 勒索软件攻击中,全球有超过 3,800 台服务器遭到破坏,其中还包括改进的流程。
ESXiArgs 勒索软件攻击事件有了一些新的进展,包括与恶意软件使用的加密方法、受害者以及黑客利用的漏洞有关。
在美国网络安全和基础设施安全局 (CISA) 宣布推出一款旨在帮助 ESXiArgs 勒索软件的部分受害者无需支付赎金即可恢复文件的开源工具后,FBI 和 CISA 发布了一份提供恢复指导的文件。
FBI 和 CISA 发现全球有 3,800 多台服务器在 ESXiArgs 勒索软件攻击中遭到破坏。
目前,Shodan和Censys搜索引擎显示有 1,600-1,800 台被黑客攻击的服务器,但有迹象表明,许多受影响的组织已经开始响应攻击并清理他们的系统。
路透社经过分析,确定受害者包括佛罗里达州最高法院以及美国和欧洲的大学。
对 ESXiArgs 攻击中部署的文件加密恶意软件的分析表明,它的目标是与虚拟机 (VM) 相关的文件。但专家注意到,该勒索软件主要针对虚拟机配置文件,并没有对存储数据的平面文件进行加密,从而让部分用户恢复了数据。
美国政府发布的工具根据未加密的平面文件重构加密的配置文件。
然而,Bleeping Computer 周三报道说,一些受害者已成为新版本 ESXiArgs 恶意软件的目标,该恶意软件具有不同的加密过程,涉及加密更多数据,从而阻止文件恢复。
到目前为止,勒索软件并未加密大文件中的大部分数据,但新版本的恶意软件加密了大文件中数量更多的数据。到目前为止,研究人员还没有发现实际加密存在任何漏洞,导致加密文件无法恢复。
假设 ESXiArgs 攻击利用 CVE-2021-21974 进行初始访问。这是VMware于2021年2月修复的VMware ESXi中的一个高危远程代码执行漏洞,该漏洞与OpenSLP相关。
VMware 尚未确认对 CVE-2021-21974 的利用,但它确实表示没有证据表明攻击中利用了零日漏洞。
然而,威胁情报公司 GreyNoise 不相信有足够的证据表明 CVE-2021-21974 正在被利用。GreyNoise 指出,近年来在 ESXi 中发现了多个与 OpenSLP 相关的漏洞,其中任何一个都可能在 ESXiArgs 攻击中被利用,包括 CVE-2020-3992 和 CVE-2019-5544。
云安全公司 Wiz 收集的数据显示,截至 2 月 7 日,12% 的 ESXi 服务器未针对 CVE-2021-21974 打补丁,容易受到攻击。
这些攻击尚未归因于已知的威胁行为者,但迄今为止收集的证据表明,文件加密恶意软件基于 2021 年泄露的 Babuk 源代码。
SOC 即服务提供商 Arctic表示: “由于赎金需求相对较低 (2 BTC) 且目标广泛、投机,我们有适度的信心评估该活动与以‘大型游戏狩猎’而闻名的勒索软件组织无关。”狼。“更成熟的勒索软件组织通常在进行入侵之前对潜在受害者进行 OSINT,并根据感知价值设置赎金支付。”
思维导图下载:GB-T 39276-2020 网络产品和服务安全通用要求
原文始发于微信公众号(河南等级保护测评):恶意软件迭代升级,ESXiArgs 勒索软件攻击多达3,800多台服务器
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论