Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss
Операторы вымогательского ПО нацелились на гипервизоры VMware ESXi
1 view
Skip to first unread message
Maxim Gribanov
Mar 16, 2021, 8:32:43 AM3/16/21
to
Привет, All!
Сразу две вымогательские программы получили новые функции, позволяющие им
атаковать гипервизоры VMware ESXi и шифровать файлы на виртуальных машинах.
К счастью, атаки сами по себе не позволяют взломать ESXi (успешная атака на
гипервизор первого типа означала бы компрометацию хоста), сообщают эксперты
ИБ-компании CrowdStrike. Операторы вымогательского ПО, о котором идет речь,
группировки CARBON SPIDER и SPRITE SPIDER, полагаются на обнаружение учетных
данных для доступа к серверам vCenter, использующимся для управления ESXi и
виртуальными машинами.
Киберпреступная группировка SPRITE SPIDER известна как минимум с июля 2020 года
и стоит за вымогательским ПО Defray777 (другие названия Defray, Defray 2018,
Target777, RansomX, RansomEXX). Получив доступ к учетным данным путем
извлечения их из браузера или памяти хоста, злоумышленники записывают
Linux-версию Defray777 в /tmp/, используя имя файла легитимного инструмента
(например, svc-new).
После запуска вредонос перечисляет системную информацию и процессы на хосте
ESXi с помощью команд uname, df и esxcli vm. Группировка также знает достаточно
о VMware и ESXi, чтобы попытаться удалить VMware Fault Domain Manager
инструмент для автоматической перезагрузки отказавших виртуальных машин.
Вторая группировка, SPRITE SPIDER, активна с 2016 года и раньше
специализировалась на атаках на PoS-терминалы. В августе 2020 года она
разработала собственное вымогательское ПО Darkside и даже создала специальную
версию для атак на ESXi. Эта версия шифрует некоторые форматы файлов,
используемые ESXi.
Если атаки вымогательского ПО на серверы ESXi будут успешными и впредь, вполне
вероятно, что в среднесрочной перспективе больше злоумышленников начнут
атаковать инфраструктуру виртуализации, - считают в CrowdStrike.
Подробнее: https://www.securitylab.ru/news/517004.php
С наилучшими пожеланиями, Maxim.
Сразу две вымогательские программы получили новые функции, позволяющие им
атаковать гипервизоры VMware ESXi и шифровать файлы на виртуальных машинах.
К счастью, атаки сами по себе не позволяют взломать ESXi (успешная атака на
гипервизор первого типа означала бы компрометацию хоста), сообщают эксперты
ИБ-компании CrowdStrike. Операторы вымогательского ПО, о котором идет речь,
группировки CARBON SPIDER и SPRITE SPIDER, полагаются на обнаружение учетных
данных для доступа к серверам vCenter, использующимся для управления ESXi и
виртуальными машинами.
Киберпреступная группировка SPRITE SPIDER известна как минимум с июля 2020 года
и стоит за вымогательским ПО Defray777 (другие названия Defray, Defray 2018,
Target777, RansomX, RansomEXX). Получив доступ к учетным данным путем
извлечения их из браузера или памяти хоста, злоумышленники записывают
Linux-версию Defray777 в /tmp/, используя имя файла легитимного инструмента
(например, svc-new).
После запуска вредонос перечисляет системную информацию и процессы на хосте
ESXi с помощью команд uname, df и esxcli vm. Группировка также знает достаточно
о VMware и ESXi, чтобы попытаться удалить VMware Fault Domain Manager
инструмент для автоматической перезагрузки отказавших виртуальных машин.
Вторая группировка, SPRITE SPIDER, активна с 2016 года и раньше
специализировалась на атаках на PoS-терминалы. В августе 2020 года она
разработала собственное вымогательское ПО Darkside и даже создала специальную
версию для атак на ESXi. Эта версия шифрует некоторые форматы файлов,
используемые ESXi.
Если атаки вымогательского ПО на серверы ESXi будут успешными и впредь, вполне
вероятно, что в среднесрочной перспективе больше злоумышленников начнут
атаковать инфраструктуру виртуализации, - считают в CrowdStrike.
Подробнее: https://www.securitylab.ru/news/517004.php
С наилучшими пожеланиями, Maxim.
0 new messages