Babuk 勒索软件的新变种已经出现,可以攻击多个国家/地区的 VMware ESXi 服务器,其中包括已确认对智利数据中心托管公司 IxMetro PowerHost 的攻击。该变体称自己为“SEXi”,是其选择的目标平台上的一个游戏。
据 CronUp 网络安全研究员Germán Fernández称,PowerHost 首席执行官 Ricardo Rubem 发表声明,确认新的勒索软件变种已使用 .SEXi 文件扩展名锁定了该公司的服务器,但对内部网络的初始访问向量尚不清楚。袭击者索要 1.4 亿美元的赎金,鲁本表示不会支付。
SEXi 的出现正处于两大勒索软件趋势的十字路口:基于 Babuk 源代码开发恶意软件的威胁行为者的涌现;以及对破坏诱人的 VMware EXSi 服务器的渴望。
IX PowerHost 攻击是更广泛的勒索软件活动的一部分
与此同时,Equinix 的 CTI 研究员 Will Thomas 发现了一个他认为与攻击中使用的二进制文件有关的二进制文件,该二进制文件被称为“LIMPOPOx32.bin”,并在 VirusTotal 中标记为 Babuk 的 Linux 版本。截至发稿时,该恶意软件在 VT 上的检测率为 53%,自 2 月 8 日首次上传以来,64 个安全供应商中有 34 个将其标记为恶意软件。MalwareHunterTeam在情人节那天发现了该恶意软件,当时该恶意软件正在未经许可的情况下使用针对泰国实体的攻击中的“SEXi”句柄。
但托马斯进一步发现了其他相关的双星。他在推特上写道:“针对 IXMETRO POWERHOST 的 SEXi 勒索软件攻击与影响至少三个拉丁美洲国家的更广泛的活动有关。”这些人称自己为索科特拉岛(3 月 23 日在智利发生的一次袭击中使用过);再次林波波(在 2 月 9 日秘鲁的一次袭击中使用);和福尔摩沙(用于 2 月 26 日墨西哥的一次袭击)。值得关注的是,截至发稿时,所有三个 VT 均检测到零。
总之,这些发现展示了使用各种 SEXi 迭代开发的新颖活动,所有这些迭代都可追溯到 Babuk。
SEXi 攻击中出现神秘 TTP
没有迹象表明恶意软件操作者来自何处或他们的意图是什么。但慢慢地,一套战术、技术和程序正在出现。其一,双星的命名来自地名。林波波省是南非最北端的省份;索科特拉岛是也门印度洋上的一个岛屿; 1800 年代末,中国清朝放弃对台湾的统治后,福尔摩沙是位于台湾的一个短命共和国。
而且,正如 MalwareHunterTeam 在 X 上指出的那样,“也许有趣/值得一提的是,这个‘SEXi’勒索软件的攻击者在注释中指定的通信方法是 Session。虽然我们甚至在几年前就看到一些攻击者使用它已经,我[不]记得看到过它与任何重大/严重的案件/演员有关。”
Session是一个跨平台、端到端的加密即时通讯应用程序,强调用户的保密性和匿名性。 IX PowerHost 攻击中的勒索字条敦促该公司下载该应用程序,然后发送带有代码“SEXi”的消息;泰国攻击中的早期说明敦促下载会话,但要包含代码“Limpopo”。
EXSi 对网络攻击者来说很性感
VMware 的 EXSi 虚拟机管理程序平台在 Linux 和类 Linux 操作系统上运行,可以托管多个数据丰富的虚拟机 (VM)。多年来,它一直是勒索软件攻击者的热门目标,部分原因是攻击面的规模:根据 Shodan 搜索,有数万台 ESXi 服务器暴露在互联网上,其中大多数运行旧版本。这还没有考虑到在公司网络首次访问遭到破坏后可以访问的网络。
该平台不支持任何第三方安全工具,这也导致勒索软件团伙对 EXSi 的兴趣日益浓厚。
根据Forescout去年发布的一份报告,“ESXi 服务器等非托管设备是勒索软件威胁者的重要目标”。 “这是因为这些服务器上有宝贵的数据、越来越多的影响它们的被利用漏洞、它们频繁暴露在互联网上以及在这些设备上实施端点检测和响应 (EDR) 等安全措施的难度。ESXi 是一个高- 由于它托管多个虚拟机,因此成为攻击者的目标,允许攻击者一次部署恶意软件并使用单个命令加密大量服务器。”
VMware 提供了保护 EXSi环境的指南。具体建议包括: 确保 ESXi 软件已打补丁并且是最新的;强化密码;从互联网上删除服务器;监控网络流量和 ESXi 服务器上的异常活动;并确保 ESXi 环境之外的虚拟机有备份以实现恢复。
发表评论
您还未登录,请先登录。
登录