| 0 |
|
3 лютого, внаслідок масштабної хакерської атаки, було зашифровано понад 3000 серверів бізнесу по всьому світу. За різними оцінками у зоні ризику 18 тисяч серверів та тисячі підприємств, у тому числі і в Україні. Зловмисники використовують вірус-шифрувальник ESXiArgs, який атакує сервери VMware ESXi.
Нагадаємо, що це крипто-вимагач, який шифрує дані серверів на основі гіпервізора VMware ESXi, а потім підміняє повідомлення на вході, замінюючи його своїм з вимогою викупу в кілька біткоїнів.
Шкідливе ПЗ шифрує файли з розширеннями «.vmxf», «.vmx», «.vmdk», «.vmsd» і «.nvram» на скомпрометованих серверах ESXi та створює файл «.args» для кожного зашифрованого документа з метаданими (імовірно, необхідними для розшифрування). У заражених системах ESXiArgs залишає записку з вимогою викупу у розмірі $50 тис. в біткоїнах, під назвою «ransom.html» та «How to Restore Your Files.html» у форматі «.html» або «.txt». Фахівці з кібербезпеки заявляють, що розшифрувати файли неможливо.
Активність ESXiArgs зафіксували ще восени 2020 року. Тоді компанія VMware випустила патч для усунення однієї з вразливостей, але він був неповним і його можна було обійти. Згодом випустила другий патч, який повністю усунув вразливість, пов'язану з можливістю безкоштовного використання (use-after-free, UAF). Вона отримала код CVE-2020-3992. Врешті-решт VMware випустила третій патч, який повністю усуває переповнення динамічної пам'яті. Йому було присвоєно код CVE-2021-21974.
У лютому 2023 року, тобто через два роки після виявлення загрози, хакери використали вразливість, щоб атакувати незахищені сервери.
Як підкреслюють фахівці хмарного оператора GigaCloud, у першу чергу атака зачепила та ще може вразити компанії, які використовують застарілі версії ESXi — від 6.x і до 6.7, а також деякі версії vSphere 7.0, які не було оновлені до останнього виправлення. За оцінками Rapid7, це майже 18 581 сервер по всьому світу.
Фахівці GigaCloud рекомендує оновити компоненти vSphere до останніх доступних підтримуваних випусків ― 7.0 та вище. Також потрібно відключити службу OpenSLP в ESXi.
Також хмарний оператор нагадує, що на постійній основі необхідно:
• Використовувати підтримувані версії програмного забезпечення VMware.
• Слідкувати за оновленнями програмного забезпечення VMware.
• Використовувати керівництво з налаштування безпеки vSphere, щоб підвищити безпеку IT-інфраструктури.
• Контролювати доступ до інтерфейсів управління ІТ-інфраструктурою (не тільки vSphere).
• Використовувати багатофакторну автентифікацію і передові методи авторизації.
• Підписатися на розсилку VMware Security Advisory для завчасного повідомлення про проблеми.
• Перевірити всі вразливі системи на наявність ознак компрометації.
Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365
| 0 |
|
