Trí thông minh dữ liệu tạo

An ninh mạng

Làn sóng ransomware trên toàn thế giới nhắm vào máy chủ VMware ESXi

Tái bản bởi Plato
Tái bản bởi Plato

Ngày:

Lượt xem: 0

Nhóm ransomware Agenda đang gia tăng lây nhiễm trên toàn thế giới nhờ một biến thể mới và cải tiến của ransomware tập trung vào máy ảo.

Agenda (hay còn gọi là Qilin và Water Galura) được phát hiện lần đầu tiên vào năm 2022. Phần mềm ransomware đầu tiên dựa trên Golang được sử dụng để chống lại một loạt mục tiêu bừa bãi: trong lĩnh vực chăm sóc sức khỏe, sản xuất và giáo dục, từ Canada đến Colombia và Indonesia.

Đến cuối năm 2022, chủ sở hữu của Agenda đã viết lại phần mềm độc hại của nó trong Rust, một ngôn ngữ hữu ích dành cho các tác giả phần mềm độc hại đang tìm cách phổ biến tác phẩm của họ trên các hệ điều hành. Với biến thể Rust, Agenda có thể thỏa hiệp các tổ chức về tài chính, luật, xây dựng, v.v., chủ yếu ở Hoa Kỳ mà còn ở Argentina, Úc, Thái Lan và các nơi khác.

Mới đây, Trend Micro đã xác định một biến thể ransomware Agenda mới trong thế giới hoang dã. Phiên bản dựa trên Rust mới nhất này đi kèm với nhiều chức năng mới và cơ chế ẩn, đồng thời nhắm thẳng vào các máy chủ VMware vCenter và ESXi.

Stephen Hilt, nhà nghiên cứu mối đe dọa cấp cao tại Trend Micro, cho biết: “Các cuộc tấn công bằng ransomware nhằm vào máy chủ ESXi đang có xu hướng ngày càng tăng”. “Chúng là mục tiêu hấp dẫn cho các cuộc tấn công ransomware vì chúng thường lưu trữ các hệ thống và ứng dụng quan trọng và tác động của một cuộc tấn công thành công có thể rất đáng kể.”

Phần mềm tống tiền chương trình nghị sự mới

Theo Trend Micro, việc lây nhiễm chương trình nghị sự bắt đầu gia tăng vào tháng 12, có lẽ vì nhóm này hiện hoạt động tích cực hơn hoặc có lẽ vì chúng hoạt động hiệu quả hơn.

Quá trình lây nhiễm bắt đầu khi tệp nhị phân ransomware được phân phối thông qua Cobalt Strike hoặc công cụ quản lý và giám sát từ xa (RMM). Tập lệnh PowerShell được nhúng trong tệp nhị phân cho phép phần mềm tống tiền lây lan trên các máy chủ vCenter và ESXi.

Sau khi được phát tán đúng cách, phần mềm độc hại sẽ thay đổi mật khẩu gốc trên tất cả các máy chủ ESXi, từ đó khóa chủ sở hữu của chúng, sau đó sử dụng Secure Shell (SSH) để tải tải trọng độc hại lên.

Phần mềm độc hại Agenda mới, mạnh hơn này có chung tất cả chức năng như phần mềm tiền nhiệm: quét hoặc loại trừ một số đường dẫn tệp nhất định, lan truyền đến các máy từ xa thông qua PsExec, tính thời gian chính xác khi tải trọng được thực thi, v.v. Nhưng nó cũng bổ sung thêm một số lệnh mới để nâng cao đặc quyền, mạo danh mã thông báo, vô hiệu hóa cụm máy ảo, v.v.

Một tính năng mới tuy phù phiếm nhưng có tác động lớn về mặt tâm lý cho phép tin tặc in thông báo đòi tiền chuộc thay vì chỉ hiển thị nó trên màn hình bị nhiễm virus.

Những kẻ tấn công tích cực thực thi tất cả các lệnh khác nhau này thông qua một shell, cho phép chúng thực hiện các hành vi nguy hiểm mà không để lại bất kỳ tệp nào làm bằng chứng.

Để nâng cao hơn nữa khả năng tàng hình của mình, Agenda cũng vay mượn xu hướng phổ biến gần đây của những kẻ tấn công ransomware — mang theo trình điều khiển dễ bị tổn thương của riêng bạn (BYOVD) — sử dụng trình điều khiển SYS dễ bị tấn công để trốn tránh phần mềm bảo mật.

Nguy cơ ransomware

Ransomware, từng độc quyền cho Windows, đã nở rộ khắp nơi Linux và VWware và thậm chí cả macOS, nhờ lượng thông tin nhạy cảm mà các công ty lưu giữ trong những môi trường này.

“Các tổ chức lưu trữ nhiều loại dữ liệu trên máy chủ ESXi, bao gồm thông tin nhạy cảm như dữ liệu khách hàng, hồ sơ tài chính và sở hữu trí tuệ. Họ cũng có thể lưu trữ các bản sao lưu của các hệ thống và ứng dụng quan trọng trên máy chủ ESXi,” Hilt giải thích. Những kẻ tấn công ransomware nhắm vào loại thông tin nhạy cảm này, trong đó các tác nhân đe dọa khác có thể sử dụng chính những hệ thống này làm bệ phóng cho các cuộc tấn công mạng tiếp theo.

Trong báo cáo của mình, Trend Micro khuyến nghị các tổ chức gặp rủi ro nên theo dõi chặt chẽ các đặc quyền quản trị, thường xuyên cập nhật các sản phẩm bảo mật, thực hiện quét và sao lưu dữ liệu, đào tạo nhân viên về kỹ thuật xã hội và thực hành vệ sinh mạng một cách siêng năng.

Hilt cho biết thêm: “Việc thúc đẩy giảm chi phí và duy trì hoạt động tại cơ sở sẽ khiến các tổ chức ảo hóa và sử dụng các hệ thống như ESXi để ảo hóa hệ thống”. Vì vậy, nguy cơ các cuộc tấn công mạng ảo hóa có thể sẽ tiếp tục gia tăng.

tại chỗ_img

Tin tức mới nhất

tại chỗ_img

Bản quyền @ 2024 Plato Technologies Inc.

Trò chuyện trực tiếp với chúng tôi (chat)

Chào bạn! Làm thế nào để tôi giúp bạn?