توییت
پس از اینکه آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده (CISA) رمزگشایی را برای قربانیان آسیب دیده منتشر کرد تا از حملات باج افزار ESXiArgs بازیابی شوند، عوامل تهدید با نسخه به روز شده ای که داده های بیشتری را رمزگذاری می کند، بازگشته اند.
ظهور نوع جدید توسط یک مدیر سیستم در یک فروم آنلاین گزارش شد، جایی که یکی دیگر از شرکتکنندگان اظهار داشت که فایلهای بزرگتر از 128 مگابایت 50 درصد از دادههایشان رمزگذاری شده است و فرآیند بازیابی را چالشبرانگیزتر میکند.
یکی دیگر از تغییرات قابل توجه حذف آدرس بیت کوین از یادداشت باج است، به طوری که مهاجمان اکنون از قربانیان می خواهند تا برای دریافت اطلاعات کیف پول با آنها در Tox تماس بگیرند.
Censys در گزارشی گفت: بازیگران تهدید متوجه شدند که محققان پرداختهای خود را دنبال میکنند و حتی ممکن است قبل از انتشار باجافزار میدانستند که دور زدن فرآیند رمزگذاری در نوع اصلی نسبتاً آسان است.
"به عبارت دیگر: آنها تماشا می کنند."
آمار به اشتراک گذاشته شده توسط پلتفرم جمعسپاری Ransomwhere نشان میدهد که تا 9 فوریه 2023، 1252 سرور توسط نسخه جدید ESXiArgs آلوده شدهاند که از این تعداد 1168 سرور آلوده مجدد هستند.
از زمان شروع شیوع باج افزار در اوایل فوریه، بیش از 3800 میزبان منحصر به فرد در معرض خطر قرار گرفته اند. اکثر موارد در فرانسه، ایالات متحده، آلمان، کانادا، بریتانیا، هلند، فنلاند، ترکیه، لهستان و تایوان قرار دارند.
ESXiArgs، مانند Cheerscrypt و PrideLocker، بر اساس قفل Babuk است که کد منبع آن در سپتامبر 2021 فاش شد. اما جنبه مهمی که آن را از سایر خانوادههای باجافزار متمایز میکند، نبود سایت نشت داده است که نشان میدهد این سایت در حال اجرا نیست. یک مدل باج افزار به عنوان یک سرویس (RaaS).
باج افزار ESXiArgs
شرکت امنیت سایبری Intel471 گفت: "باج ها کمی بیش از دو بیت کوین (47000 دلار آمریکا) تعیین شده است و به قربانیان سه روز فرصت داده می شود تا پرداخت کنند.
در حالی که در ابتدا گمان می رفت که این نفوذها شامل سوء استفاده از یک باگ OpenSLP دو ساله که اکنون وصله شده در VMware ESXi (CVE-2021-21974) باشد، در دستگاه هایی که پروتکل کشف شبکه غیرفعال شده اند گزارش شده است. VMware از آن زمان گفته است که هیچ مدرکی پیدا نکرده است که نشان دهد یک آسیبپذیری روز صفر در نرمافزارش برای انتشار باجافزار استفاده میشود.
این نشان میدهد که عوامل تهدید در پشت این فعالیت ممکن است از چندین آسیبپذیری شناختهشده در ESXi به نفع خود استفاده کنند، و این امر ضروری است که کاربران به سرعت برای بهروزرسانی به آخرین نسخه حرکت کنند. این حملات هنوز به یک عامل یا گروه تهدید شناخته شده نسبت داده نشده است.
Arctic Wolf خاطرنشان کرد: "بر اساس یادداشت باج، این کمپین تنها به یک عامل یا گروه تهدید کننده مرتبط است." «گروههای باجافزار تأسیسشدهتر معمولاً قبل از انجام یک نفوذ، OSINT را روی قربانیان احتمالی انجام میدهند و پرداخت باج را بر اساس ارزش درک شده تنظیم میکنند».
شرکت امنیت سایبری Rapid7 اعلام کرد که 18581 سرور ESXi در معرض اینترنت را پیدا کرده است که در برابر CVE-2021-21974 آسیب پذیر هستند، و افزود که همچنین مشاهده کرده است که بازیگران RansomExx2 به طور فرصت طلبانه سرورهای مستعد ESXi را هدف قرار می دهند.
تونی لائورو، مدیر فناوری و استراتژی امنیتی در Akamai، گفت: «در حالی که تأثیر دلار این نقض خاص ممکن است کم به نظر برسد، مهاجمان سایبری همچنان سازمانها را از طریق مرگ هزاران کاهش میدهند.»
باجافزار ESXiArgs نمونهای بارز از این است که چرا مدیران سیستم باید پس از انتشار وصلهها به سرعت آنها را پیادهسازی کنند و همچنین مدتهایی است که مهاجمان برای موفقیت در حملات خود طی میکنند. وابسته به."
ظهور نوع جدید توسط یک مدیر سیستم در یک فروم آنلاین گزارش شد، جایی که یکی دیگر از شرکتکنندگان اظهار داشت که فایلهای بزرگتر از 128 مگابایت 50 درصد از دادههایشان رمزگذاری شده است و فرآیند بازیابی را چالشبرانگیزتر میکند.
یکی دیگر از تغییرات قابل توجه حذف آدرس بیت کوین از یادداشت باج است، به طوری که مهاجمان اکنون از قربانیان می خواهند تا برای دریافت اطلاعات کیف پول با آنها در Tox تماس بگیرند.
Censys در گزارشی گفت: بازیگران تهدید متوجه شدند که محققان پرداختهای خود را دنبال میکنند و حتی ممکن است قبل از انتشار باجافزار میدانستند که دور زدن فرآیند رمزگذاری در نوع اصلی نسبتاً آسان است.
"به عبارت دیگر: آنها تماشا می کنند."
آمار به اشتراک گذاشته شده توسط پلتفرم جمعسپاری Ransomwhere نشان میدهد که تا 9 فوریه 2023، 1252 سرور توسط نسخه جدید ESXiArgs آلوده شدهاند که از این تعداد 1168 سرور آلوده مجدد هستند.
از زمان شروع شیوع باج افزار در اوایل فوریه، بیش از 3800 میزبان منحصر به فرد در معرض خطر قرار گرفته اند. اکثر موارد در فرانسه، ایالات متحده، آلمان، کانادا، بریتانیا، هلند، فنلاند، ترکیه، لهستان و تایوان قرار دارند.
ESXiArgs، مانند Cheerscrypt و PrideLocker، بر اساس قفل Babuk است که کد منبع آن در سپتامبر 2021 فاش شد. اما جنبه مهمی که آن را از سایر خانوادههای باجافزار متمایز میکند، نبود سایت نشت داده است که نشان میدهد این سایت در حال اجرا نیست. یک مدل باج افزار به عنوان یک سرویس (RaaS).
باج افزار ESXiArgs
شرکت امنیت سایبری Intel471 گفت: "باج ها کمی بیش از دو بیت کوین (47000 دلار آمریکا) تعیین شده است و به قربانیان سه روز فرصت داده می شود تا پرداخت کنند.
در حالی که در ابتدا گمان می رفت که این نفوذها شامل سوء استفاده از یک باگ OpenSLP دو ساله که اکنون وصله شده در VMware ESXi (CVE-2021-21974) باشد، در دستگاه هایی که پروتکل کشف شبکه غیرفعال شده اند گزارش شده است. VMware از آن زمان گفته است که هیچ مدرکی پیدا نکرده است که نشان دهد یک آسیبپذیری روز صفر در نرمافزارش برای انتشار باجافزار استفاده میشود.
این نشان میدهد که عوامل تهدید در پشت این فعالیت ممکن است از چندین آسیبپذیری شناختهشده در ESXi به نفع خود استفاده کنند، و این امر ضروری است که کاربران به سرعت برای بهروزرسانی به آخرین نسخه حرکت کنند. این حملات هنوز به یک عامل یا گروه تهدید شناخته شده نسبت داده نشده است.
Arctic Wolf خاطرنشان کرد: "بر اساس یادداشت باج، این کمپین تنها به یک عامل یا گروه تهدید کننده مرتبط است." «گروههای باجافزار تأسیسشدهتر معمولاً قبل از انجام یک نفوذ، OSINT را روی قربانیان احتمالی انجام میدهند و پرداخت باج را بر اساس ارزش درک شده تنظیم میکنند».
شرکت امنیت سایبری Rapid7 اعلام کرد که 18581 سرور ESXi در معرض اینترنت را پیدا کرده است که در برابر CVE-2021-21974 آسیب پذیر هستند، و افزود که همچنین مشاهده کرده است که بازیگران RansomExx2 به طور فرصت طلبانه سرورهای مستعد ESXi را هدف قرار می دهند.
تونی لائورو، مدیر فناوری و استراتژی امنیتی در Akamai، گفت: «در حالی که تأثیر دلار این نقض خاص ممکن است کم به نظر برسد، مهاجمان سایبری همچنان سازمانها را از طریق مرگ هزاران کاهش میدهند.»
باجافزار ESXiArgs نمونهای بارز از این است که چرا مدیران سیستم باید پس از انتشار وصلهها به سرعت آنها را پیادهسازی کنند و همچنین مدتهایی است که مهاجمان برای موفقیت در حملات خود طی میکنند. وابسته به."