В настоящее время группировками Ransomware эксплуатируются две уязвимости VMWare ESXi: CVE-2019-5544 и CVE-2020-3992.
По крайней мере, одна крупная группировка использует уязвимости в VMWare ESXi для установления контроля над виртуальными машинами, развернутыми в корпоративных средах, с последующим шифрованием их виртуальных жестких дисков.
Впервые обнаруженные в октябре прошлого года, эти атаки показали связь с преступной группировкой, использовавшей программу-вымогатель RansomExx.
По словам нескольких исследователей безопасности, с которыми беседовали представители ZDNet, данные свидетельствуют о том, что злоумышленники использовали уязвимости CVE-2019-5544 и CVE-2020-3992 в гипервизоре VMware ESXi, которые позволяют нескольким виртуальным машинам совместно использовать одно и то же пространство жесткого диска.
Обе ошибки влияют на протокол определения местоположения службы (Service Location Protocol, SLP), используемый устройствами одной сети для взаимного обнаружения (также входит в комплект ESXi).
Уязвимости позволяют злоумышленнику, находящемуся в той же сети, отправлять злонамеренные запросы SLP на устройство ESXi и устанавливать над ним контроль, даже если злоумышленнику не удалось скомпрометировать сервер VMWare vCenter, на который обычно инстансы ESXi отправляют отчеты.
В атаках, произошедших в прошлом году, группировка RansomExx была замечена в получении доступа к устройству в корпоративной сети и злоупотреблении этой начальной точкой входа для атаки на локальные инстансы ESXi и шифрования их виртуальных жестких дисков, используемых для хранения данных с различных виртуальных машин, вызывая массовые сбои в работе компаний, поскольку виртуальные диски ESXi обычно используются для централизации данных из множества других систем.
Сообщения об этих атаках были задокументированы на Reddit, опубликованы в Twitter, представлены на конференции по безопасности в прошлом месяце и подтверждены в различных интервью для ZDNet в течение последних двух месяцев.
Угроза для Intel - выявляйте и исправляйте уязвимости VMware ESX CVE-2019-5544 и CVE-2020-3992.
Группировка вымогателей использует их для обхода всей системы безопасности ОС Windows, выключая виртуальные машины и шифруя VMDK непосредственно на гипервизоре.
- Kevin Beaumont (@GossiTheDog) 7 ноября 2020 г.
На данный момент только группировка RansomExx (также известная как Defray777) была замечена в злоупотреблении этим приемом, но в таинственном обновлении прошлого месяца оператор программы-вымогателя Babuk Locker также объявил о пугающе похожей функции - хотя подтвержденных успешных атак еще зафиксировано не было.
Автор BabukLocker утверждает, что их программа-вымогатель теперь может шифровать системы на базе NIX, устройства NAS и рабочие станции VMWare eSXI pic.twitter.com/yR3crnnUOW
- Catalin Cimpanu (@campuscodi) 27 января 2021 г.
Системным администраторам в компаниях, которые используют VMWare ESXi для управления дисковым пространством, используемым их виртуальными машинами, рекомендуется либо установить рекомендуемые патчи ESXi, либо отключить поддержку SLP для предотвращения атак, если данный протокол не используется.
Источник: https://www.zdnet.com/article/ranso...o-encrypt-virtual-hard-disks/#ftag=RSSbaffb68
По крайней мере, одна крупная группировка использует уязвимости в VMWare ESXi для установления контроля над виртуальными машинами, развернутыми в корпоративных средах, с последующим шифрованием их виртуальных жестких дисков.
Впервые обнаруженные в октябре прошлого года, эти атаки показали связь с преступной группировкой, использовавшей программу-вымогатель RansomExx.
По словам нескольких исследователей безопасности, с которыми беседовали представители ZDNet, данные свидетельствуют о том, что злоумышленники использовали уязвимости CVE-2019-5544 и CVE-2020-3992 в гипервизоре VMware ESXi, которые позволяют нескольким виртуальным машинам совместно использовать одно и то же пространство жесткого диска.
Обе ошибки влияют на протокол определения местоположения службы (Service Location Protocol, SLP), используемый устройствами одной сети для взаимного обнаружения (также входит в комплект ESXi).
Уязвимости позволяют злоумышленнику, находящемуся в той же сети, отправлять злонамеренные запросы SLP на устройство ESXi и устанавливать над ним контроль, даже если злоумышленнику не удалось скомпрометировать сервер VMWare vCenter, на который обычно инстансы ESXi отправляют отчеты.
В атаках, произошедших в прошлом году, группировка RansomExx была замечена в получении доступа к устройству в корпоративной сети и злоупотреблении этой начальной точкой входа для атаки на локальные инстансы ESXi и шифрования их виртуальных жестких дисков, используемых для хранения данных с различных виртуальных машин, вызывая массовые сбои в работе компаний, поскольку виртуальные диски ESXi обычно используются для централизации данных из множества других систем.
Сообщения об этих атаках были задокументированы на Reddit, опубликованы в Twitter, представлены на конференции по безопасности в прошлом месяце и подтверждены в различных интервью для ZDNet в течение последних двух месяцев.
Угроза для Intel - выявляйте и исправляйте уязвимости VMware ESX CVE-2019-5544 и CVE-2020-3992.
Группировка вымогателей использует их для обхода всей системы безопасности ОС Windows, выключая виртуальные машины и шифруя VMDK непосредственно на гипервизоре.
- Kevin Beaumont (@GossiTheDog) 7 ноября 2020 г.
На данный момент только группировка RansomExx (также известная как Defray777) была замечена в злоупотреблении этим приемом, но в таинственном обновлении прошлого месяца оператор программы-вымогателя Babuk Locker также объявил о пугающе похожей функции - хотя подтвержденных успешных атак еще зафиксировано не было.
Автор BabukLocker утверждает, что их программа-вымогатель теперь может шифровать системы на базе NIX, устройства NAS и рабочие станции VMWare eSXI pic.twitter.com/yR3crnnUOW
- Catalin Cimpanu (@campuscodi) 27 января 2021 г.
Системным администраторам в компаниях, которые используют VMWare ESXi для управления дисковым пространством, используемым их виртуальными машинами, рекомендуется либо установить рекомендуемые патчи ESXi, либо отключить поддержку SLP для предотвращения атак, если данный протокол не используется.
Источник: https://www.zdnet.com/article/ranso...o-encrypt-virtual-hard-disks/#ftag=RSSbaffb68