ΑρχικήSecurityRansomHub ransomware: Νέα έκδοση στοχεύει VMware ESXi VMs

RansomHub ransomware: Νέα έκδοση στοχεύει VMware ESXi VMs

Το RansomHub ransomware φαίνεται πως έχει αποκτήσει και ένα Linux encryptor που έχει σχεδιαστεί για την κρυπτογράφηση VMware ESXi περιβαλλόντων.

RansomHub ransomware VMware ESXi VMs

Το RansomHub είναι μια επιχείρηση ransomware-as-a-service (RaaS) που εμφανίστηκε τον Φεβρουάριο του 2024, παρουσιάζοντας κάποιες ομοιότητες με τα γνωστά ransomware ALPHV / BlackCat και Knight. Λέγεται ότι έχει ήδη περισσότερα από 45 θύματα σε 18 χώρες.

Η ύπαρξη encryptor για Windows και Linux έχει επιβεβαιωθεί από τις αρχές Μαΐου. Η Recorded Future αναφέρει τώρα ότι η ομάδα απειλών RansomHub έχει επίσης μια εξειδικευμένη παραλλαγή ESXi, την οποία είδε για πρώτη φορά τον Απρίλιο του 2024.

Δείτε επίσης: Οι hackers Scattered Spider συνεργάζονται με την RansomHub

#secnews #microsoft
Learn the shocking truth about Microsoft and Crowdstrike in this eye-opening video. Discover how their actions impact Greece and the rest of the world.
Ποιοι λόγοι κρύβονται πίσω από τη διακοπή στις υπηρεσίες της Microsoft και πώς επηρεάζεται ο κόσμος;
Τις τελευταίες ώρες, χρήστες και επιχειρήσεις σε όλο τον κόσμο, αντιμετωπίζουν προβλήματα και διακοπές σε υπηρεσίες της Microsoft, συμπεριλαμβανομένων των Microsoft 365 και Azure. Επίσης, προβλήματα υπήρξαν και με τη λειτουργία των Windows συστημάτων.
Ποια είναι η αιτία αυτών των διακοπών και πώς επηρεάστηκε η Ελλάδα;
Μάθετε περισσότερα: https://www.secnews.gr/609071/ti-symvainei-me-thn-ellada-kai-to-blackout-ths-microsoft/
Παρακολουθήστε αυτό το βίντεο για να μάθετε τα πάντα για αυτήν την επίθεση και τι πρέπει να κάνετε για να προστατεύσετε τα δεδομένα σας. #MicrosoftΔιακοπή #ΔιακοπήΥπηρεσιών #ΠροστασίαΔεδομένων #Κυβερνοασφάλεια #ΕπιτήρησηΔικτύου #ΠροστασίαΕταιρειών #ΑσφάλειαΔεδομένων #ΔιαδικτυακήΧωροφυλακή #ΠροστασίαΥποδομών #Κυβερνοαπειλές

#secnews #microsoft

Ποιοι λόγοι κρύβονται πίσω από τη διακοπή στις υπηρεσίες της Microsoft και πώς επηρεάζεται ο κόσμος;

Τις τελευταίες ώρες, χρήστες και επιχειρήσεις σε όλο τον κόσμο, αντιμετωπίζουν προβλήματα και διακοπές σε υπηρεσίες της Microsoft, συμπεριλαμβανομένων των Microsoft 365 και Azure. Επίσης, προβλήματα υπήρξαν και με τη λειτουργία των Windows συστημάτων.

Ποια είναι η αιτία αυτών των διακοπών και πώς επηρεάστηκε η Ελλάδα;

Μάθετε περισσότερα: https://www.secnews.gr/609071/ti-symvainei-me-thn-ellada-kai-to-blackout-ths-microsoft/

Παρακολουθήστε αυτό το βίντεο για να μάθετε τα πάντα για αυτήν την επίθεση και τι πρέπει να κάνετε για να προστατεύσετε τα δεδομένα σας. #MicrosoftΔιακοπή #ΔιακοπήΥπηρεσιών #ΠροστασίαΔεδομένων #Κυβερνοασφάλεια #ΕπιτήρησηΔικτύου #ΠροστασίαΕταιρειών #ΑσφάλειαΔεδομένων #ΔιαδικτυακήΧωροφυλακή #ΠροστασίαΥποδομών #Κυβερνοαπειλές

0

YouTube Video VVVDWG45SzRBbWhLQjFZMjNHbjY5YWV3Llhsc0xwNDBseUtr

The Shocking Truth: Microsoft and Crowdstrike Exposed

SecNewsTV3 hours ago

Σε αντίθεση με τις εκδόσεις Windows και Linux του RansomHub ransomware, που είναι γραμμένες σε Go, η έκδοση ESXi είναι ένα πρόγραμμα C++ που πιθανότατα προέρχεται από το πλέον ανενεργό ransomware Knight.

Αξίζει να σημειωθεί ότι η Recorded Future έχει ήδη βρει ένα απλό σφάλμα στην παραλλαγή ESXi, που οι υπερασπιστές δικτύων μπορούν να αξιοποιήσουν για να αποφύγουν την κρυπτογράφηση.

RansomHub ransomware: Παραλλαγή ESXi

Το τελευταίο διάστημα, οι επιχειρήσεις έχουν υιοθετήσει τη χρήση virtual machines για τη φιλοξενία των servers τους, καθώς επιτρέπουν καλύτερη διαχείριση της CPU, της μνήμης και των πόρων αποθήκευσης. Λόγω αυτής της αυξημένης υιοθέτησης, σχεδόν κάθε συμμορία ransomware που στοχεύει σε επιχειρήσεις, έχει δημιουργήσει αποκλειστικούς encryptors VMware ESXi για να στοχεύει αυτούς τους διακομιστές.

Η συμμορία RansomHub δεν αποτελεί εξαίρεση, καθώς η νέα παραλλαγή ESXi κάνει αυτό ακριβώς. Υποστηρίζει διάφορες εντολές, σχετικά με το πού πρέπει να στοχεύσει και τι πρέπει να αποφύγει, ενώ διαθέτει επίσης εντολές για διαγραφή snapshot και για τον τερματισμό των VM.

Ο encryptor απενεργοποιεί, επίσης, το σύστημα καταγραφής και άλλες κρίσιμες υπηρεσίες για να εμποδίσει την καταγραφή και μπορεί να ρυθμιστεί ώστε να διαγράφεται μετά την εκτέλεση για να αποφευχθεί ο εντοπισμός και η ανάλυση.

Δείτε επίσης: Το RansomHub εκμεταλλεύεται το ZeroLogon σε επιθέσεις ransomware

Όσον αφορά στην κρυπτογράφηση, έχουν επιλεγεί τα ChaCha20 και Curve25519 για τη δημιουργία δημόσιων και ιδιωτικών κλειδιών και κρυπτογραφούνται αρχεία, όπως .vmdk, .vmx, .vmsn, μόνο εν μέρει (intermittent encryption) για ταχύτερη απόδοση.

Το σημείωμα λύτρων είναι ορατό στις οθόνες σύνδεσης και στις διεπαφές ιστού.

Οι αναλυτές της Recorded Future διαπίστωσαν ότι η παραλλαγή ESXi του RansomHub ransomware χρησιμοποιεί ένα αρχείο με το όνομα ‘/tmp/app.pid’ για να ελέγξει εάν εκτελείται ήδη κάτι. Εάν αυτό το αρχείο υπάρχει με process ID, το ransomware επιχειρεί να “σκοτώσει” αυτήν τη διαδικασία και εξέρχεται.

Ωστόσο, εάν το αρχείο περιέχει -1, το ransomware εισέρχεται σε infinite loop όπου προσπαθεί να “σκοτώσει” μια ανύπαρκτη διαδικασία, εξουδετερώνοντας ουσιαστικά τον εαυτό του.

Αυτό πρακτικά σημαίνει ότι οι οργανισμοί μπορούν να δημιουργήσουν ένα αρχείο /tmp/app.pid που περιέχει -1 για προστασία από την παραλλαγή RansomHub ESXi.

Δείτε επίσης: Η RansomHub πήρε την ευθύνη της κυβερνοεπίθεσης στην Frontier

Για την προστασία από επιθέσεις ransomware, οι επιχειρήσεις πρέπει να δημιουργούν τακτικά αντίγραφα ασφαλείας των δεδομένων τους και να διασφαλίζουν ότι αυτά τα αντίγραφα ασφαλείας αποθηκεύονται με ασφάλεια. Είναι επίσης σημαντικό να διατηρούνται τα συστήματα και το λογισμικό ενημερωμένα για να αποτρέπεται η εκμετάλλευση των τρωτών σημείων.

Επιπλέον, η εφαρμογή ισχυρών μέτρων ασφαλείας, όπως τείχη προστασίας, λογισμικό προστασίας από ιούς και συστήματα ανίχνευσης εισβολών μπορεί να βοηθήσει στον εντοπισμό και την πρόληψη επιθέσεων, όπως αυτές του RansomHub ransomware. Η τακτική εκπαίδευση των εργαζομένων σχετικά με τις βέλτιστες πρακτικές ασφάλειας στον κυβερνοχώρο μπορεί επίσης να συμβάλει σημαντικά στην πρόληψη αυτού του είδους των επιθέσεων.

Πηγή: www.bleepingcomputer.com

Digital Fortress
Digital Fortresshttps://www.secnews.gr
Pursue Your Dreams & Live!
spot_img

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS