Οι επιθέσεις ransomware που στοχεύουν την υποδομή VMware ESXi ακολουθούν ένα καθιερωμένο μοτίβο ανεξαρτήτως του κακόβουλου λογισμικού κρυπτογράφησης αρχείων που χρησιμοποιείται, σύμφωνα με νέα ευρήματα.
«Οι πλατφόρμες εικονικοποίησης αποτελούν βασικό συστατικό της οργανωτικής υποδομής πληροφορικής, ωστόσο συχνά υποφέρουν από εγγενείς εσφαλμένες ρυθμίσεις και τρωτά σημεία, γεγονός που τις καθιστά επικερδή και εξαιρετικά αποτελεσματικό στόχο για κατάχρηση από παράγοντες απειλών», αναφέρει η εταιρεία κυβερνοασφάλειας Sygnia σε έκθεση που κοινοποιήθηκε στο The Hacker News.
Δείτε περισσότερα: Η Jumbo Group έπεσε θύμα επίθεσης ransomware
Η ισραηλινή εταιρεία, μέσω των προσπαθειών αντιμετώπισης περιστατικών με διάφορες οικογένειες ransomware όπως LockBit, HelloKitty, BlackMatter, RedAlert (N13V), Scattered Spider, Akira, Cactus, BlackCat και Cheerscrypt, διαπίστωσε ότι οι επιθέσεις σε περιβάλλοντα εικονικοποίησης ακολουθούν παρόμοια σειρά ενεργειών. Αυτά περιλαμβάνουν τα εξής βήματα:
- Απόκτηση αρχικής πρόσβασης μέσω επιθέσεων phishing, λήψεων κακόβουλων αρχείων και εκμετάλλευσης γνωστών τρωτών σημείων σε στοιχεία που αντιμετωπίζουν το Διαδίκτυο.
- Κλιμάκωση των προνομίων για απόκτηση διαπιστευτηρίων για κεντρικούς υπολογιστές ESXi ή vCenter μέσω επιθέσεων brute-force ή άλλων μεθόδων.
- Επιβεβαίωση της πρόσβασης στην υποδομή εικονικοποίησης και ανάπτυξη του ransomware.
- Διαγραφή ή κρυπτογράφηση συστημάτων αντιγράφων ασφαλείας ή, σε ορισμένες περιπτώσεις, αλλαγή των κωδικών πρόσβασης για να περιπλέξουν τις προσπάθειες ανάκτησης.
- Εξαγωγή δεδομένων σε εξωτερικές τοποθεσίες όπως το Mega.io, το Dropbox ή ιδιωτικές υπηρεσίες φιλοξενίας.
- Εκκίνηση εκτέλεσης του ransomware για την κρυπτογράφηση του φακέλου “/vmfs/volumes” του συστήματος αρχείων ESXi.
- Διάδοση του ransomware σε μη εικονικούς διακομιστές και σταθμούς εργασίας για τη διεύρυνση του εύρους της επίθεσης.
Για τον μετριασμό των κινδύνων από τέτοιες απειλές, συνιστάται στους οργανισμούς να διασφαλίζουν επαρκή παρακολούθηση και καταγραφή, να δημιουργούν ισχυρούς εφεδρικούς μηχανισμούς, να επιβάλλουν αυστηρά μέτρα ελέγχου ταυτότητας, να ενισχύουν την ασφάλεια του περιβάλλοντος και να εφαρμόζουν περιορισμούς δικτύου για την αποτροπή της πλευρικής κίνησης.
Η εταιρεία κυβερνοασφάλειας Rapid7 προειδοποίησε για μια συνεχιζόμενη καμπάνια από τις αρχές Μαρτίου 2024 που χρησιμοποιεί κακόβουλες διαφημίσεις σε ευρέως χρησιμοποιούμενες μηχανές αναζήτησης για να διανέμει Trojanized εγκαταστάτες για τα WinSCP και PuTTY μέσω typosquatted domains, καταλήγοντας στην εγκατάσταση ransomware.
Αυτοί οι πλαστοί εγκαταστάτες λειτουργούν ως αγωγός για την εισαγωγή του εργαλείου μετά-εκμετάλλευσης Sliver, το οποίο στη συνέχεια χρησιμοποιείται για την απόδοση περισσότερων φορτίων, συμπεριλαμβανομένου ενός Cobalt Strike Beacon που χρησιμοποιείται για την ανάπτυξη ransomware.
Η δραστηριότητα αυτή εμφανίζει τακτικές επικαλύψεις με προηγούμενες επιθέσεις ransomware του BlackCat, οι οποίες έχουν χρησιμοποιήσει κακόβουλη διαφήμιση ως μέσο αρχικής πρόσβασης στο πλαίσιο μιας επαναλαμβανόμενης καμπάνιας που παρέχει το κακόβουλο λογισμικό Nitrogen.
«Η καμπάνια επηρεάζει δυσανάλογα τα μέλη των ομάδων πληροφορικής, τα οποία είναι πιο πιθανό να κατεβάσουν τα αρχεία με trojanized ενώ αναζητούν νόμιμες εκδόσεις», δήλωσε ο ερευνητής ασφάλειας, Tyler McGraw. «Η επιτυχής εκτέλεση του κακόβουλου λογισμικού παρέχει στη συνέχεια στον απειλητικό παράγοντα αυξημένο έλεγχο και εμποδίζει την ανάλυση, θολώνοντας τις προθέσεις των επόμενων διοικητικών ενεργειών».
Η αποκάλυψη έρχεται παράλληλα με την εμφάνιση νέων οικογενειών ransomware, όπως το Beast, το MorLock, το Synapse και το Trinity. Ιδιαίτερα, η ομάδα MorLock έχει στοχοποιήσει εκτενώς ρωσικές εταιρείες, κρυπτογραφώντας τα αρχεία τους χωρίς να τα εκμεταλλεύεται προηγουμένως. “Για την αποκατάσταση της πρόσβασης στα δεδομένα, οι χάκερς [MorLock] απαιτούν σημαντικά λύτρα, που μπορεί να ανέρχονται σε δεκάδες ή και εκατοντάδες εκατομμύρια ρούβλια,” ανέφερε η ρωσική παράρτημα F.A.C.C.T του Group-IB.
Σύμφωνα με στοιχεία της NCC Group, οι παγκόσμιες επιθέσεις ransomware τον Απρίλιο του 2024 μειώθηκαν κατά 15% σε σχέση με τον προηγούμενο μήνα, από 421 σε 356. Ο Απρίλιος του 2024 σηματοδοτεί επίσης το τέλος της οκτάμηνης κυριαρχίας του LockBit ως η κύρια απειλή με τα περισσότερα θύματα, υπογραμμίζοντας τις δυσκολίες που αντιμετώπισε μετά από μια σαρωτική κατάργηση από τις αρχές επιβολής του νόμου νωρίτερα φέτος.
“Ωστόσο, σε μια απρόσμενη εξέλιξη, το LockBit 3.0 δεν ήταν η πιο σημαντική ομάδα απειλών για τον μήνα και είχε λιγότερες από τις μισές επιθέσεις που παρατηρήθηκαν τον Μάρτιο,” δήλωσε η εταιρεία. “Αντίθετα, η ομάδα Play ήταν η πιο ενεργή, με τους Hunters να ακολουθούν λίγο αργότερα.”
Η ανατάραξη στη σκηνή του ransomware συμπληρώνεται από εγκληματίες του κυβερνοχώρου που διαφημίζουν κρυφό Virtual Network Computing (hVNC) και υπηρεσίες απομακρυσμένης πρόσβασης, όπως το Pandora και το TMChecker. Αυτές οι υπηρεσίες θα μπορούσαν να χρησιμοποιηθούν για την εξαγωγή δεδομένων, την ανάπτυξη κακόβουλου λογισμικού και τη διευκόλυνση επιθέσεων ransomware.
Διαβάστε επίσης: Νοσοκομείο στην κομητεία Trego θύμα επίθεσης ransomware
“Πολλοί μεσίτες αρχικής πρόσβασης (IAB) και χειριστές ransomware χρησιμοποιούν το [TMChecker] για να ελέγξουν τα παραβιασμένα δεδομένα για την παρουσία έγκυρων διαπιστευτηρίων σε εταιρικούς λογαριασμούς VPN και email,” δήλωσε η Resecurity. “Η ταυτόχρονη άνοδος του TMChecker είναι σημαντική, καθώς μειώνει σημαντικά τα εμπόδια εισόδου και το κόστος για τους παράγοντες απειλών που επιδιώκουν να αποκτήσουν πρόσβαση υψηλού αντίκτυπου σε εταιρικά συστήματα, είτε για πρωτογενή εκμετάλλευση είτε για πώληση στη δευτερογενή αγορά.”
Πηγή: thehackernews
