Масштабная атака программы-вымогателя ESXiArgs нацелена на серверы VMware ESXi по всему миру
Администраторы, хостинг-провайдеры и Французская группа реагирования на компьютерные чрезвычайные ситуации (CERT-FR) предупреждают, что злоумышленники активно нацелены на неисправленные серверы VMware ESXi против уязвимости удаленного выполнения кода двухлетней давности для развертывания новой программы-вымогателя ESXiArgs.
Уязвимость, отслеживаемая как CVE-2021-21974, вызвана проблемой переполнения динамической памяти в службе OpenSLP, которая может быть использована злоумышленниками, не прошедшими проверку подлинности, в атаках низкой сложности.
«По данным текущих расследований, эти кампании атак, по-видимому, используют уязвимость CVE-2021-21974, исправление для которой доступно с 23 февраля 2021 года», — говорится в сообщении CERT-FR.
«В настоящее время целевыми системами будут гипервизоры ESXi версии 6.x и ранее 6.7».
Чтобы блокировать входящие атаки, администраторы должны отключить уязвимую службу протокола определения местоположения службы (SLP) на гипервизорах ESXi, которые еще не были обновлены.
CERT-FR настоятельно рекомендует установить исправление как можно скорее, но добавляет, что системы, оставшиеся без исправлений, также следует сканировать на наличие признаков компрометации.
CVE-2021-21974 влияет на следующие системы:
ESXi версии 7.x до ESXi70U1c-17325551
ESXi версии 6.7.x до ESXi670-202102401-SG
ESXi версии 6.5.x до ESXi650-202102101-SG
Французский поставщик облачных услуг OVHcloud впервые опубликовал отчет, в котором эта массовая волна атак, нацеленных на серверы VMware ESXi, была связана с операцией программы-вымогателя в Неваде.
«По мнению экспертов из экосистемы, а также властей, они могут быть связаны с программой-вымогателем из Невады и используют CVE-2021-21974 в качестве вектора компрометации. Расследование для подтверждения этих предположений все еще продолжается», — сказал директор по информационной безопасности OVHcloud Жюльен Леврард.
«Атака в первую очередь нацелена на серверы ESXi версии до 7.0 U3i, очевидно, через порт OpenSLP (427)».
Однако вскоре после того, как наша история была опубликована, компания отступила, заявив, что они объяснили это неправильной операцией программы-вымогателя.
В конце первого дня атак было зашифровано около 120 серверов ESXi.
Однако за выходные их число быстро выросло: по данным Censys, 2400 устройств VMware ESXi по всему миру в настоящее время обнаружены как скомпрометированные в ходе кампании по вымогательству.
В бюллетене, опубликованном 6 февраля, VMware подтвердила, что эта атака использует старые недостатки ESXi, а не уязвимость нулевого дня.
Компания советует администраторам установить последние обновления для серверов ESXi и отключить службу OpenSLP, которая отключена по умолчанию с 2021 года.
В целом, кампания по вымогательству не имела большого успеха, учитывая большое количество зашифрованных устройств: служба отслеживания платежей выкупа Ransomwhere сообщила только о четырех платежах выкупа на общую сумму 88 000 долларов США.
Отсутствие выкупа, вероятно, связано с руководством по восстановлению VMware ESXi, созданным исследователем безопасности Энесом Сонмезом, которое позволяет многим администраторам бесплатно перестраивать свои виртуальные машины и восстанавливать свои данные.
Новый вымогатель ESXiArgs
Однако, судя по примечаниям о выкупе, обнаруженным в этой атаке, они не связаны с программой-вымогателем Nevada, а относятся к новому семейству программ-вымогателей.
Примерно четыре часа назад жертвы этой кампании также начали сообщать об атаках на форуме BleepingComputer, прося помощи и дополнительной информации о том, как восстановить свои данные.
Программа-вымогатель шифрует файлы с расширениями .vmxf, .vmx, .vmdk, .vmsd и .nvram на скомпрометированных серверах ESXi и создает файл .args для каждого зашифрованного документа с метаданными (вероятно, необходимыми для расшифровки).
В то время как субъекты угрозы, стоящие за этой атакой, утверждают, что украли данные, одна жертва сообщила на форумах BleepingComputer, что в их инциденте этого не было.
«Наше расследование показало, что данные не были заражены. В нашем случае на атакованной машине было более 500 ГБ данных, но обычное ежедневное использование составляло всего 2 Мбит/с. Мы просмотрели статистику трафика за последние 90 дней и не обнаружили доказательств исходящих данных. перевод", - сказал админ.
Жертвы также нашли заметки о выкупе под названием «ransom.html» и «Как восстановить ваши файлы.html» в заблокированных системах. Другие сказали, что их заметки представляют собой текстовые файлы.
Майкл Гиллеспи из ID Ransomware в настоящее время отслеживает программу-вымогатель под именем «ESXiArgs», но сообщил BleepingComputer, что, пока мы не найдем образец, невозможно определить, есть ли у него какие-либо недостатки в шифровании.
BleepingComputer имеет специальную тему поддержки ESXiArgs, где люди сообщают о своем опыте с этой атакой и получают помощь в восстановлении машин.
Технические детали ESXiArgs
Прошлой ночью администратор получил копию шифровальщика ESXiArgs и связанного сценария оболочки и поделился им в теме поддержки BleepingComputer.
Анализ скрипта и шифровальщика позволил нам лучше понять, как проводились эти атаки.
При взломе сервера в папке /tmp сохраняются следующие файлы:
encrypt — исполняемый файл ELF-шифровальщика.
encrypt.sh — сценарий оболочки, который действует как логика атаки, выполняя различные задачи перед запуском шифровальщика, как описано ниже.
public.pem — открытый ключ RSA, используемый для шифрования ключа, который шифрует файл.
motd — примечание о выкупе в текстовом виде, которое будет скопировано в /etc/motd, чтобы оно отображалось при входе в систему. Исходный файл сервера будет скопирован в /etc/motd1.
index.html — примечание о выкупе в формате HTML, которое заменит домашнюю страницу VMware ESXi. Исходный файл сервера будет скопирован в index1.html в той же папке.
Майкл Гиллеспи из ID Ransomware проанализировал шифровальщик и сообщил BleepingComputer, что шифрование, к сожалению, безопасно, а это означает, что никакие криптографические ошибки не позволяют дешифровать.
«Открытый.pem, который он ожидает, является открытым ключом RSA (я предполагаю, что это RSA-2048, основанный на просмотре зашифрованных файлов, но код технически принимает любой действительный PEM)», — написал Гиллеспи в теме поддержки на форуме.
«Для файла для шифрования он генерирует 32 байта с использованием защищенного CPRNG RAND_pseudo_bytes OpenSSL, а затем этот ключ используется для шифрования файла с использованием Sosemanuk, безопасного потокового шифра. Ключ файла шифруется с помощью RSA (OpenSSL RSA_public_encrypt) и добавляется к конец файла».
«Использование алгоритма Sosemanuk довольно уникально и обычно используется только в программах-вымогателях, полученных из исходного кода Babuk (вариант ESXi). Возможно, это так, но они модифицировали его для использования RSA вместо реализации Babuk Curve25519».
Этот анализ показывает, что ESXiArgs, вероятно, основан на утечке исходного кода Babuk, который ранее использовался другими кампаниями по вымогательству ESXi, такими как CheersCrypt и шифровальщик PrideLocker группы Quantum/Dagon.
Хотя примечания о выкупе для ESXiArgs и Cheerscrypt очень похожи, метод шифрования отличается, поэтому неясно, является ли это новым вариантом или просто общей кодовой базой Babuk.
Шифровальщик выполняется файлом сценария оболочки, который запускает его с различными аргументами командной строки, включая файл с открытым ключом RSA, файл для шифрования, фрагменты данных, которые не будут зашифрованы, размер блока шифрования и файл. размер.
usage: encrypt <public_key> <file_to_encrypt> [<enc_step>] [<enc_size>] [<file_size>]
enc_step - number of MB to skip while encryption
enc_size - number of MB in encryption block
file_size - file size in bytes (for sparse files)
Этот шифратор запускается с помощью сценария оболочки encrypt.sh, который действует как логика атаки, которую мы кратко опишем ниже.
При запуске сценарий выполнит следующую команду для изменения файлов конфигурации виртуальной машины ESXi (.vmx), чтобы строки «.vmdk» и «.vswp» были изменены на «1.vmdk» и «1.vswp».
Новая версия программы-вымогателя ESXiArgs препятствует восстановлению VMware ESXi
Новые атаки программ-вымогателей ESXiArgs теперь шифруют большие объемы данных, что значительно усложняет, если не делает невозможным, восстановление зашифрованных виртуальных машин VMware ESXi.
В прошлую пятницу массированная и широко распространенная автоматизированная атака программ-вымогателей зашифровала более 3000 серверов VMware ESXi, доступных в Интернете, с помощью новой программы-вымогателя ESXiArgs.
В предварительных отчетах указывалось, что устройства были взломаны с использованием старых уязвимостей VMware SLP. Однако некоторые жертвы заявили, что SLP был отключен на их устройствах и все еще был взломан и зашифрован.
При шифровании устройства скрипт encrypt.sh ищет файлы виртуальной машины, соответствующие следующим расширениям:
Для каждого найденного файла скрипт проверяет размер файла и, если размер файла меньше 128 МБ, шифрует весь файл с шагом 1 МБ.
Однако для файлов размером более 128 МБ будет вычисляться «size_step», что заставит шифровальщик попеременно шифровать 1 МБ данных и не шифровать фрагменты (size_step в мегабайтах) данных.
Сценарий encrypt.sh использует следующую формулу (слегка измененную для удобочитаемости), чтобы определить, какой size_step следует использовать:
size_step=((($size_in_kb/1024/100)-1))
Это означает, что для файла размером 4,5 ГБ он будет генерировать size_step равным «45», заставляя шифровальщик чередовать шифрование 1 МБ файла и пропуск 45 МБ файла. Итак, как вы можете видеть, довольно много данных остается незашифрованным к моменту завершения шифрования файла.
Для еще больших файлов, таких как файл размером 450 ГБ, объем пропущенных данных резко возрастает, при этом size_step становится равным «4607», теперь чередуется шифрование 1 МБ и пропуск 4,49 ГБ данных.
Из-за этих больших фрагментов незашифрованных данных исследователи разработали метод восстановления виртуальных машин с использованием больших и в основном незашифрованных плоских файлов, в которых хранятся данные диска виртуальной машины.
Сценарий, созданный CISA, позже автоматизировал этот процесс восстановления.
Процесс шифрования изменен
К сожалению, сегодня началась вторая волна программ-вымогателей ESXiArgs, которые включают в себя модифицированную процедуру шифрования, которая шифрует гораздо больше данных в больших файлах.
BleepingComputer впервые узнал о второй волне после того, как администратор опубликовал в теме поддержки ESXiArgs сообщение о том, что их сервер был зашифрован и не может быть восстановлен с помощью методов, которые работали ранее.
Поделившись образцами с BleepingComputer, мы заметили, что шифратор не изменился, но подпрограмма size_step скрипта encrypt.sh была удалена и просто установлена в 1 в новой версии.
Это изменение проиллюстрировано ниже в сравнении исходного вычисления size_step encrypt.sh (слева) в первой волне атак с новым сценарием оболочки (справа) во второй волне.
Эксперт по программам-вымогателям Майкл Гиллеспи сообщил, что это изменение заставляет шифровальщик чередовать шифрование 1 МБ данных и пропуск 1 МБ данных.
Все файлы размером более 128 МБ теперь будут иметь 50% зашифрованных данных, что делает их, вероятно, невосстановимыми.
Это изменение также препятствует успешному восстановлению машин предыдущими инструментами восстановления, поскольку в плоских файлах будет слишком много зашифрованных данных, чтобы их можно было использовать.
Эта вторая волна атаки также внесла незначительные изменения в примечание о выкупе, больше не включая биткойн-адреса в примечание о выкупе, как показано ниже.
Удаление биткойн-адресов, вероятно, произошло из-за того, что они были собраны исследователями безопасности для отслеживания выплат выкупа.
Однако, что еще более тревожно, администратор, который поделился новыми образцами, сказал, что SLP отключен на их сервере, но все равно снова взломан. Они также проверили наличие бэкдора vmtool.py, замеченного в предыдущих атаках, и не нашли его.
С отключенным SLP становится еще более запутанным вопрос о том, как этот сервер был взломан.
BleepingComputer по-прежнему рекомендует пытаться восстановить зашифрованные серверы ESXi с помощью сценария восстановления CISA.
Однако он, скорее всего, больше не будет работать, если вы были заражены во время второй волны атак с использованием новой процедуры шифрования.
Clop Ransomware утверждает, что он атаковал 130 организаций, используя goanywhere zeryday
Кибергруппа Clop утверждает, что стоит за недавними атаками, которые использовали уязвимость в нулевом дне в инструменте Googhwhere MFT Secure File Transform, заявив, что они украли данные из более чем 130 организаций.
Недостаток безопасности, который теперь отслеживается как CVE-2023-0669, позволяет злоумышленникам получить удаленное выполнение кода на непропатченных экземплярах GoAnywhere MFT с их административной консолью, подверженной доступу в Интернете.
Clop обратился к BleepingComputer и сказал нам, что они якобы украли данные в течение десяти дней после нарушения уязвимых серверов для использования таргетинга этой ошибки.
Они также утверждали, что они могут перемещаться по боковым направлениям через сети своих жертв и развернуть полезные нагрузки вымогателей, чтобы зашифровать системы, но решили не делать этого и только украли документы, хранящиеся на скомпрометированных GoAnywhere MFT.
Группа отказалась предоставить доказательства или поделиться дополнительной информацией о своих вторжения, когда BleepingComputer спросил их, когда начались атаки, если они уже начали вымогать своих жертв, и какие выкупы они просили.
BleepingComputer не мог самостоятельно подтвердить действия Clop, и Forta не ответил на электронные письма с просьбой получить дополнительную информацию о эксплуатации CVE-2013-0669 и обвинениях группы вымогателей,
Разработчик Goanywhere MFT Fortra (ранее известный как Helpsystems) на прошлой неделе сообщил своим клиентам, что уязвимость эксплуатируется как нулевой день в дикой природе.
На следующий день компания выпустила обновления аварийной безопасности, чтобы позволить клиентам защитить свои серверы от входящих попыток атаки.
«Мы определили, что несанкционированная сторона получила доступ к системам через ранее неизвестный эксплойт и создала несанкционированные учетные записи пользователей», - сказал Fortra.
CISA также добавил уязвимость CVE-2023-0669 Goanywhere MFT в свой известный каталог эксплуатируемых уязвимостей в пятницу, приказывая федеральным агентствам исправлять свои системы в течение следующих трех недель, до 3 марта.
В то время как Shodan показывает, что более 1000 экземпляров Goanywhere, доступных из интернета, только 135 находятся на портах 8000 и 8001 (те, которые используются уязвимой консоли администратора).
Clop Ransomware требует выкуп у жертв нулевого дня GoAnywhere
Clop требует выкуп у компаний, чьи данные были украдены с помощью уязвимости нулевого дня в решении для безопасного обмена файлами Fortra GoAnywhere MFT.
В феврале разработчики решения для передачи файлов GoAnywhere MFT предупредили клиентов о том, что на открытых административных консолях используется уязвимость нулевого дня для удаленного выполнения кода.
GoAnywhere — это решение для безопасной передачи файлов через Интернет, которое позволяет компаниям безопасно передавать зашифрованные файлы своим партнерам, сохраняя при этом подробные журналы аудита того, кто получил доступ к файлам.
Хотя никаких подробностей о том, как использовалась уязвимость, не сообщалось, вскоре был выпущен экспериментальный эксплойт, а затем исправление для этой уязвимости.
На следующий день после выпуска патча GoAnywhere кибергруппа Clop заявила, что несет ответственность за атаки.
Группа заявила, что они использовали уязвимость в течение десяти дней, чтобы украсть данные у 130 компаний.
С тех пор две компании, Community Health Systems (CHS) и Hatch Bank, сообщили, что данные были украдены в ходе атак GoAnywhere MFT.
Клоп начинает вымогать деньги у клиентов GoAnywhere
Недавно Clop начал публично эксплуатировать жертв атак GoAnywhere, добавив семь новых компаний на свой сайт утечки данных.
Общеизвестно, что только одна из жертв, Hatch Bank, была взломана с помощью этой уязвимости.
Хотя неясно, сколько требуют злоумышленники, ранее в декабре 2020 года они требовали выкуп в размере 10 миллионов долларов в аналогичных атаках с использованием уязвимости нулевого дня Accellion FTA.
Во время этих атак группа вымогателей украла большие объемы данных почти у 100 компаний по всему миру, при этом злоумышленники медленно сливали данные из компаний, требуя выкупа в миллионы долларов.
В число организаций, чьи серверы Accellion были взломаны, входят, среди прочего, энергетический гигант Shell, фирма по кибербезопасности Qualys, гигант супермаркетов Kroger и несколько университетов по всему миру, таких как Стэнфордский медицинский университет, Университет Колорадо, Университет Майами, Калифорнийский университет и Университет Мэриленда. Балтимор (UMB).
Кибергруппа Medusa набирает обороты, атакуя компании по всему миру
Medusa Ransomware, начала набирать обороты в 2023 году, нацеленная на корпоративных жертв по всему миру с требованиями выкупа на миллионы долларов.
Операция «Медуза» началась в июне 2021 года, но ее активность была относительно низкой, жертв было немного. Однако в 2023 году группа активизировалась и запустила «блог Медузы», используемый для утечки данных о жертвах, отказавшихся платить выкуп.
На этой неделе Medusa привлекла внимание СМИ после того, как они взяли на себя ответственность за нападение на район государственных школ Миннеаполиса (MPS) и поделились видео с украденными данными.
Многие семейства вредоносных программ называют себя Medusa, в том числе ботнет на основе Mirai с возможностями вымогателей, вредоносное ПО Medusa для Android и широко известная операция вымогателей MedusaLocker.
Из-за часто используемого имени были некоторые запутанные отчеты об этом семействе программ-вымогателей, и многие думали, что это то же самое, что и MedusaLocker.
Однако действия программ-вымогателей Medusa и MedusaLocker совершенно разные.
Операция MedusaLocker была запущена в 2019 году как Ransomware-as-a-Service с многочисленными аффилированными лицами, запиской о выкупе, обычно называемой How_to_back_files.html, и широким спектром расширений файлов для зашифрованных файлов.
Операция MedusaLocker использует для переговоров веб-сайт Tor по адресу qd7pcafncosqfqu3ha6fcx4h6sr7tzwagzpcdcnytiw3b6varaeqv5yd.onion.
Однако операция по вымогательству Medusa началась примерно в июне 2021 года и использовала записку с требованием выкупа под названием !!!READ_ME_MEDUSA!!!.txt и статическое зашифрованное расширение файла .MEDUSA.
Операция Medusa также использует веб-сайт Tor для переговоров о выкупе, но их сайт находится по адресу medusacegu2ufmc3kx2kkqicrlcxdettsjcenhjena6uannk5f4ffuyd.onion.
Как Medusa шифрует Windows-устройства
BleepingComputer смог проанализировать шифратор Medusa только для Windows, и пока неизвестно, есть ли у них такой шифратор для Linux.
Шифровальщик Windows принимает параметры командной строки, которые позволяют злоумышленнику настроить способ шифрования файлов на устройстве, как показано ниже.
# Command Line
Option | Description
-V | Get version
-d | Do not delete self
-f | Exclude system folder
-i | In path
-k | Key file path
-n | Use network
-p | Do not preprocess (preprocess = kill services and shadow copies)
-s | Exclude system drive
-t | Note file path
-v | Show console window
-w | Initial run powershell path (powershell -executionpolicy bypass -File %s)
При обычном запуске без аргументов командной строки программа-вымогатель Medusa завершит работу более 280 служб и процессов Windows для программ, которые могут препятствовать шифрованию файлов. К ним относятся службы Windows для почтовых серверов, серверов баз данных, серверов резервного копирования и программного обеспечения для обеспечения безопасности.
Затем программа-вымогатель удалит теневые копии томов Windows, чтобы предотвратить их использование для восстановления файлов.
Эксперт по программам-вымогателям Майкл Гиллеспи также проанализировал шифровальщик и сообщил BleepingComputer, что он шифрует файлы, используя шифрование AES-256 + RSA-2048 с использованием библиотеки BCrypt.
Гиллеспи также подтвердил, что метод шифрования, используемый в Medusa, отличается от метода, используемого в MedusaLocker.
При шифровании файлов программа-вымогатель будет добавлять расширение .MEDUSA к именам зашифрованных файлов
В каждой папке программа-вымогатель создаст заметку о выкупе с именем !!!READ_ME_MEDUSA!!!.txt, содержащую информацию о том, что случилось с файлами жертвы.
Записка о выкупе также будет включать контактную информацию расширения, в том числе сайт утечки данных Tor, сайт переговоров Tor, канал Telegram, идентификатор Tox и адрес электронной почты [email protected].
В качестве дополнительного шага, чтобы предотвратить восстановление файлов из резервных копий, программа-вымогатель Medusa выполнит следующую команду, чтобы удалить локально сохраненные файлы, связанные с программами резервного копирования, такими как Windows Backup. Эта команда также удалит виртуальные жесткие диски (VHD), используемые виртуальными машинами.
Программа-вымогатель New Money Message требует выкуп в миллион долларов
Появилась новая кибергруппа под названием «Money Message», нацеленная на жертв по всему миру и требующая выкупа в миллионы долларов за то, чтобы не произошла утечка данных и за выпуск дешифратора.
О новой программе-вымогателе впервые появилось сообщение на форумах BleepingComputer 28 марта 2023 года, а ThreatLabz Zscaler вскоре после публикации информации в Twitter.
В настоящее время злоумышленник перечисляет на своем сайте вымогателей двух жертв, одной из которых является азиатская авиакомпания с годовым доходом около 1 миллиарда долларов. Кроме того, злоумышленники утверждают, что украли у компании файлы, и в качестве доказательства нарушения прикрепляют скриншот файловой системы, к которой был получен доступ.
Как Money Message шифрует компьютер
Шифровальщик написан на C++ и включает в себя встроенный файл конфигурации JSON, определяющий способ шифрования устройства.
Этот файл конфигурации включает в себя, какие папки блокировать от шифрования, какое расширение добавлять, какие службы и процессы следует завершать, включено ли ведение журнала, а также имена и пароли для входа в домен, которые, вероятно, используются для шифрования других устройств.
В образце, проанализированном BleepingComputer, программа-вымогатель не будет шифровать файлы в следующих папках:
При шифровании файлов расширение не добавляется, но это может измениться в зависимости от жертвы. По словам исследователя безопасности, шифровальщик использует шифрование ChaCha20/ECDH при шифровании файлов.
Единственными файлами, исключенными из шифрования по умолчанию, являются:
После шифрования устройства программа-вымогатель создаст записку с требованием выкупа с именем money_message.log, содержащую ссылку на сайт переговоров TOR, используемый для переговоров с злоумышленниками.
Программа-вымогатель также предупредит, что опубликует любые украденные данные на своем сайте утечки данных, если выкуп не будет выплачен.
Хотя шифратор, используемый группой, не выглядит сложным, было подтверждено, что операция успешно крадет данные и шифрует устройства во время их атак.
ALPHV использует ошибки Veritas Backup Exec для первоначального доступа
Было замечено, что операторы ALPHV/BlackCat использует три уязвимости, влияющие на продукт Veritas Backup для начального доступа к целевой сети.
Операция по вымогательству ALPHV началась в декабре 2021 года и, как считается, управляется бывшими участниками программ Darkside и Blackmatter, которые были внезапно закрыты, чтобы избежать давления со стороны правоохранительных органов.
Mandiant отслеживает филиал ALPHV как «UNC4466» и отмечает, что этот метод представляет собой отклонение от типичного вторжения, основанного на украденных учетных данных.
Используемые недостатки
Mandiant сообщает, что 22 октября 2022 года она наблюдала первые случаи эксплуатации уязвимостей Veritas в дикой природе. Уязвимости с высокой степенью серьезности, на которые нацелен UNC4466:
CVE-2021-27876: Уязвимость произвольного доступа к файлам, вызванная ошибкой в схеме аутентификации SHA, позволяет удаленному злоумышленнику получить несанкционированный доступ к уязвимым конечным точкам. (оценка CVSS: 8,1)
CVE-2021-27877: Удаленный несанкционированный доступ и выполнение привилегированных команд агенту BE через аутентификацию SHA. (оценка CVSS: 8,2)
CVE-2021-27878: Уязвимость выполнения произвольной команды возникает из-за ошибки в схеме аутентификации SHA, что позволяет удаленному злоумышленнику получить несанкционированный доступ к уязвимым конечным точкам. (оценка CVSS: 8,8)
Все три недостатка влияют на программное обеспечение Veritas Backup. Поставщик раскрыл их в марте 2021 года и выпустил исправление с версией 21.2. Однако, несмотря на то, что с тех пор прошло более двух лет, многие конечные точки остаются уязвимыми, поскольку они не обновлены до безопасной версии.
Mandiant говорит, что коммерческая служба сканирования показала, что в общедоступной сети есть более 8500 IP-адресов, которые рекламируют службу «Symantec/Veritas Backup Exec ndmp» на порту по умолчанию 10000, а также на портах 9000 и 10001.
«Хотя этот результат поиска не идентифицирует напрямую уязвимые системы, поскольку версии приложений не удалось идентифицировать, он демонстрирует преобладание экземпляров, открытых в Интернете, которые потенциально могут быть исследованы злоумышленниками», — Mandiant.
Модуль Metasploit для использования этих уязвимостей был выпущен для публики 23 сентября 2022 года. Код позволяет злоумышленникам создавать сеанс и взаимодействовать с взломанными конечными точками.
Согласно Mandiant, UNC4466 начал использовать конкретный модуль через месяц после того, как он стал доступен.
Детали атаки
Согласно наблюдениям Mandiant, UNC4466 компрометирует открытый в Интернете сервер Windows, на котором работает Veritas Backup Exec, с помощью общедоступного модуля Metasploit и поддерживает постоянный доступ к хосту.
После первоначальной компрометации злоумышленник использовал утилиты Advanced IP Scanner и ADRecon для сбора информации о среде жертвы.
Затем они загрузили на хост дополнительные инструменты, такие как LAZAGNE, LIGOLO, WINSW, RCLONE и, наконец, шифровальщик вымогателя ALPHV через фоновую интеллектуальную службу передачи (BITS).
Злоумышленник использовал туннелирование SOCKS5 для связи с сервером управления и контроля (C2).
Исследователи объясняют, что UNC4466 использовал передачу BITS для загрузки инструментов туннелирования SOCKS5 и развернул полезную нагрузку программы-вымогателя, добавив немедленные задачи в политику домена по умолчанию, отключив программное обеспечение безопасности и запустив шифратор.
Чтобы повысить привилегии, UNC4466 использует Mimikatz, LaZagne и Nanodump для кражи действительных учетных данных пользователя.
Наконец, субъект угрозы уклоняется от обнаружения, очищая журналы событий и отключая функцию мониторинга Microsoft Defender в реальном времени.
Отчет Mandiant содержит рекомендации, которым защитники могут следовать, чтобы своевременно обнаруживать атаки UNC4466 и смягчать их до того, как полезная нагрузка ALPHV будет выполнена в их системах.
Обнаружены программы-шифровальщики LockBit, нацеленные на устройства Mac
LockBit впервые создала шифровальщики, нацеленные на Mac, что, вероятно, станет первой крупной операцией по вымогательству, специально предназначенной для macOS.
Новые шифровальщики были обнаружены исследователем кибербезопасности MalwareHunterTeam, который нашел на VirusTotal ZIP-архив, который, по-видимому, содержал большинство доступных шифровальщиков LockBit.
Исторически сложилось так, что операция LockBit использует шифраторы, предназначенные для атак на серверы Windows, Linux и VMware ESXi. Однако, как показано ниже, этот архив [VirusTotal] также содержал ранее неизвестные шифраторы для процессоров macOS, ARM, FreeBSD, MIPS и SPARC.
Эти шифраторы также включают один с именем «locker_Apple_M1_64» [VirusTotal], который нацелен на более новые компьютеры Mac, работающие на Apple Silicon. В архиве также есть локеры для процессоров PowerPC, которые используют старые Mac.
Дальнейшее исследование, проведенное исследователем кибербезопасности Флорианом Ротом, обнаружило шифратор Apple M1, загруженный на VirusTotal в декабре 2022 года, что указывает на то, что эти образцы уже некоторое время циркулируют.
Microsoft объяснила недавние атаки на серверы Papercut к операциям вымогателей Clop и Lockbit, которые использовали уязвимости для кражи корпоративных данных.
В прошлом месяце на сервере приложений PaperCut были исправлены две уязвимости, которые позволяют удаленным злоумышленникам произвести неавторизованное выполнение удаленного кода и раскрытие информации:
CVE-2023–27350 / ZDI-CAN-18987 / PO-1216: Недостоверное избавление от удаленного выполнения кода, влияющее на все версии Papercut MF или NG 8.0 или более поздней версии на всех платформах ОС, как для серверов применения, так и для серверов сайта. (CVSS v3.1 Оценка: 9,8 - критическая)
CVE-2023–27351 / ZDI-CAN-19226 / PO-1219: Недостаточный недостаток информации о раскрытии информации, влияющий на все версии Papercut MF или NG 15.0 или позже на платформах ОС для серверов приложений. (CVSS v3.1 Оценка: 8,2 - высокая)
19 апреля PaperCut сообщил, что эти недостатки активно эксплуатировались в дикой природе, призывая администраторов обновить свои серверы до последней версии.
Сегодня Microsoft сообщила, что Clop и Lockbit стоит за этими атаками и используют их для кражи корпоративных данных с уязвимых серверов.
После того, как они получили доступ к серверу, они развернули вредоносное ПО TrueBot, которая также была ранее связана с операцией вымогателей Clop.
В конечном счете, Microsoft говорит, что маяк Cobalt Strike был развернут и использовался для распространения в боковом направлении через сеть при краже данных с использованием приложения Megasync File.
В дополнение к CLOP, Microsoft говорит, что некоторые вторжения привели к атакам вымогателей Lockbit. Тем не менее, неясно, начались ли эти атаки после того, как эксплойты были опубликованы.
Microsoft рекомендует администраторам применять доступные патчи как можно скорее, так как другие актеры угроз, вероятно, начнут использовать уязвимости.
PaperCut включает в себя функцию «архивирования печати», которая сохраняет все задания печати и документы, отправленные через сервер, что делает ее хорошим кандидатом на атаки эксфильтрации данных от операции.
Все организации, использующие Papercut MF или NG, настоятельно рекомендуются перейти на версии 20.1.7, 21.2.11 и 22.0.9 немедленно и позже, чтобы исправить эти уязвимости.
расследует утечку предполагаемых закрытых ключей, используемых функцией безопасности Intel Boot Guard, что может повлиять на ее способность блокировать установку вредоносного встроенного ПО UEFI на устройства MSI.
В марте группа ransomware атаковала компьютерное оборудование производителя MSI, заявив, что во время атаки украла 1,5 ТБ данных, включая прошивку, исходный код и базы данных.
Злоумышленники потребовали выкуп в размере 4 000 000 долларов и, не получив денег, начала сливать данные для MSI на своем сайте утечки данных.
На прошлой неделе злоумышленники начали утечку украденных данных MSI, включая исходный код прошивки, используемой материнскими платами компании.
Intel Boot Guard пострадал от атаки
В пятницу Алекс Матросов, генеральный директор платформы безопасности цепочки поставок микропрограмм Binarly, предупредил, что утечка исходного кода содержит закрытые ключи для подписи изображений для 57 продуктов MSI и закрытые ключи Intel Boot Guard для 116 продуктов MSI.
«Компания Intel знает об этих отчетах и ведет активное расследование. Исследователи утверждают, что в данные включены закрытые ключи подписи, в том числе ключи подписи MSI OEM для Intel® BootGuard», — сообщила Intel BleepingComputer в ответ на наши вопросы об утечке.
«Следует отметить, что OEM-ключи Intel BootGuard генерируются производителем системы и не являются ключами подписи Intel».
Матросов сказал, что эта утечка могла привести к тому, что Intel Boot Guard не работал на устройствах MSI, использующих процессоры «11th Tiger Lake, 12th Adler Lake и 13th Raptor Lake».
«У нас есть доказательства того, что эта утечка данных MSI затронула всю экосистему Intel. Это прямая угроза для клиентов MSI и, к сожалению, не только для них», — сказал Матросов BleepingComputer в пятницу днем.
«Ключи подписи для образа fw позволяют злоумышленнику создавать вредоносные обновления прошивки, и они могут быть доставлены с помощью обычного процесса обновления BIOS с помощью инструментов обновления MSI».
«Утечка ключей Intel Boot Guard влияет на всю экосистему (не только на MSI) и делает эту функцию безопасности бесполезной».
Intel Boot Guard — это функция безопасности, встроенная в современное оборудование Intel, предназначенная для предотвращения загрузки вредоносных прошивок, известных как буткиты UEFI. Это критически важная функция, используемая для удовлетворения требований Windows UEFI Secure Boot.
Это связано с тем, что вредоносная прошивка загружается до загрузки операционной системы, что позволяет ей скрыть свою деятельность от ядра и программного обеспечения безопасности, сохраняется даже после переустановки операционной системы и помогает установить вредоносное ПО на скомпрометированные устройства.
Для защиты от вредоносной микропрограммы Intel Boot Guard проверяет, подписан ли образ микропрограммы с помощью законного закрытого ключа подписи с использованием встроенного открытого ключа, встроенного в оборудование Intel.
Если микропрограмму можно проверить как законно подписанную, Intel Boot Guard разрешит ее загрузку на устройство. Однако, если подпись не пройдена, прошивка не сможет загрузиться.
Самая большая проблема с этой утечкой заключается в том, что открытые ключи, используемые для проверки прошивки, подписанной с использованием утекших ключей, как полагают, встроены в оборудование Intel. Если их нельзя изменить, функция безопасности больше не заслуживает доверия на устройствах, использующих эти украденные ключи.
«В утечке исходного кода MSI были обнаружены закрытые ключи манифеста (KM) и манифеста политики загрузки (BPM). Эти ключи используются для технологии Boot Guard, которая обеспечивает проверку образа прошивки с помощью аппаратного корня доверия», — предупреждает Binarly в бюллетене. поделился в Твиттере.
«Хеш открытого ключа OEM Root RSA от менеджера KM запрограммирован в программируемом поле набора микросхем (FPF). Основная цель KM — сохранить хэш открытого ключа RSA из BPM, который, в свою очередь, содержит информацию о загрузке Политика, описание начального загрузочного блока (IBB) и его хэш».
«Утечка закрытых частей упомянутых ключей позволяет потенциальному злоумышленнику подписать модифицированную прошивку для этого устройства, чтобы оно прошло проверку Intel Boot Guard, что делает эту технологию полностью неэффективной».
Хотя эти ключи вряд ли помогут большинству злоумышленников, некоторые опытные злоумышленники ранее использовали в атаках вредоносные микропрограммы, такие как вредоносное ПО CosmicStrand и BlackLotus UEFI.
«Теперь эта функция может быть скомпрометирована, и злоумышленники могут создавать вредоносные обновления прошивки на затронутых устройствах, не беспокоясь об Intel Boot Guard», — сказал Матросов в последнем предупреждении, которым поделился с BleepingComputer.
Binarly опубликовала список затронутого оборудования MSI, включающий 116 устройств MSI, которые, как сообщается, были скомпрометированы утечкой ключей Intel Boot Guard.
Код Babuk, используемый 9 группами ransomware для шифрования серверов VMWare ESXi
Все большее число операций с программами-вымогателями используют просочившийся исходный код программы-вымогателя Babuk для создания шифровальщиков Linux, нацеленных на серверы VMware ESXi.
Исследователи безопасности SentinelLabs заметили эту растущую тенденцию после того, как заметили быструю смену девяти вариантов программ-вымогателей на основе Babuk, появившихся в период между второй половиной 2022 года и первой половиной 2023 года.
«Существует заметная тенденция к тому, что злоумышленники все чаще используют конструктор Babuk для разработки программ-вымогателей для ESXi и Linux», — сказал Алекс Деламотт, исследователь угроз из SentinelLabs.
Список новых семейств программ-вымогателей, которые использовали его для создания новых шифраторов ESXi на основе Babuk со второго полугодия 2022 года (и соответствующие расширения, добавленные к зашифрованным файлам), включает Play (.FinDom), Mario (.emario), Conti POC (.conti). , REvil, также известный как Revix (.rhkrc), программа-вымогатель Cylance, Dataf Locker, Rorschach, также известный как BabLock, Lock4 и RTM Locker.
Как и ожидалось, утекший сборщик Babuk позволил злоумышленникам нацеливаться на системы Linux, даже если у них нет опыта для разработки собственных штаммов программ-вымогателей.
К сожалению, его использование другими семействами программ-вымогателей также значительно усложнило идентификацию виновных в атаках, поскольку использование одних и тех же инструментов несколькими участниками значительно усложняет усилия по атрибуции.
Они добавляются ко многим другим уникальным штаммам программ-вымогателей, не основанным на Babuk, нацеленным на виртуальные машины VMware ESXi, обнаруженным в дикой природе в течение нескольких лет.
Некоторые из найденных в дикой природе программ-вымогателей: Royal Ransomware, Nevada Ransomware, GwisinLocker Ransomware, Luna Ransomware, RedAlert Ransomware, а также Black Basta, LockBit, BlackMatter, AvosLocker, HelloKitty, REvil, RansomEXX и Hive.
Утечка исходного кода и ключей дешифрования
Операция по вымогательству Babuk (также известная как Babyk и Babuk Locker) всплыла в начале 2021 года, когда компании были атакованы двойным вымогательством.
Исходный код программы-вымогателя просочился на хакерский форум в сентябре 2021 года вместе с шифровальщиками VMware ESXi, NAS и Windows, а также шифровальщиками и дешифраторами, скомпилированными для некоторых пострадавших.
Вредоносные драйверы ядра Windows, используемые в атаках программ-вымогателей BlackCat
Было замечено, что группа вымогателей ALPHV (также известная как BlackCat) использует подписанные вредоносные драйверы ядра Windows, чтобы избежать обнаружения программным обеспечением безопасности во время атак.
Драйвер, обнаруженный Trend Micro, представляет собой улучшенную версию вредоносного ПО, известного как «POORTRY», которое Microsoft, Mandiant, Sophos и SentinelOne обнаружили в атаках программ-вымогателей в конце прошлого года.
Вредоносная программа POORTRY представляет собой драйвер ядра Windows, подписанный с использованием украденных ключей, принадлежащих законным учетным записям в программе Microsoft Windows Hardware Developer Program.
Этот вредоносный драйвер использовался хакерской группой UNC3944, также известной как 0ktapus и Scattered Spider, для прерывания работы программного обеспечения безопасности, работающего на устройстве Windows, чтобы избежать обнаружения.
Хотя программное обеспечение безопасности обычно защищено от прерывания или подделки, поскольку драйверы ядра Windows работают с самыми высокими привилегиями в операционной системе, их можно использовать для завершения практически любого процесса.
Trend Micro сообщает, что злоумышленники пытались использовать драйвер POORTRY, подписанный Microsoft, но показатели его обнаружения были высокими после того, как он получил огласку и после того, как ключи для подписи кода были отозваны.
Следовательно, хакеры развернули обновленную версию драйвера ядра POORTRY, подписанную с использованием украденного или просочившегося сертификата перекрестной подписи.
Новый драйвер, используемый программой-вымогателем BlackCat, помогает им повысить свои привилегии на скомпрометированных машинах, а затем остановить процессы, связанные с агентами безопасности.
Вредоносный драйвер ядра Windows
Подписанный драйвер, обнаруженный Trend Micro в атаках BlackCat в феврале 2023 года, называется «ktgn.sys», он был помещен в файловую систему жертвы в папке% Temp%, а затем загружен программой пользовательского режима с именем «tjr.exe».
Аналитики говорят, что цифровая подпись ktgn.sys была отозвана; однако драйвер по-прежнему без проблем загружается в 64-разрядных системах Windows с принудительными политиками подписи.
Вредоносный драйвер ядра предоставляет интерфейс IOCTL, который позволяет клиенту пользовательского режима, tjr.exe, выдавать команды, которые драйвер будет выполнять с привилегиями ядра Windows.
«Из нашего анализа того, что происходит, когда пользователь взаимодействует с этим драйвером, мы заметили, что он использует только один из открытых кодов управления вводом и выводом устройства (IOCTL) — Kill Process, который используется для уничтожения процессов агента безопасности, установленных в системе. », — поясняется в отчете Trend Micro.
Аналитики Trend Micro обнаружили незащищенные следующие команды, которые могут быть отправлены драйверу:
Активировать драйвер
Деактивировать драйвер после завершения работы клиента пользовательского режима.
Убить любой процесс пользовательского режима
Удалить определенные пути к файлам
Принудительно удалить файл, освободив его дескрипторы и завершив запущенные процессы, использующие его.
Копировать файлы
Принудительно копировать файлы, используя механизм, аналогичный принудительному удалению.
Регистрация обратных вызовов уведомлений процесса/потока
Отменить регистрацию обратных вызовов уведомлений процесса/потока
Перезагрузите систему, вызвав API HalReturnToFirmware.
Trend Micro отмечает, что две команды, используемые для обратных вызовов Process/Thread Notification, не работают, что указывает на то, что драйвер в настоящее время находится в стадии разработки или тестирования.
Системным администраторам рекомендуется использовать индикаторы компрометации, используемые Trend Micro, и добавлять вредоносные драйверы, используемые злоумышленниками-вымогателями, в черный список драйверов Windows.
Администраторы Windows также должны убедиться, что включено «Принудительное применение подписи драйверов», что блокирует установку любых драйверов, не имеющих действительной цифровой подписи.
Комментарии
Администраторы, хостинг-провайдеры и Французская группа реагирования на компьютерные чрезвычайные ситуации (CERT-FR) предупреждают, что злоумышленники активно нацелены на неисправленные серверы VMware ESXi против уязвимости удаленного выполнения кода двухлетней давности для развертывания новой программы-вымогателя ESXiArgs.
Уязвимость, отслеживаемая как CVE-2021-21974, вызвана проблемой переполнения динамической памяти в службе OpenSLP, которая может быть использована злоумышленниками, не прошедшими проверку подлинности, в атаках низкой сложности.
«По данным текущих расследований, эти кампании атак, по-видимому, используют уязвимость CVE-2021-21974, исправление для которой доступно с 23 февраля 2021 года», — говорится в сообщении CERT-FR.
«В настоящее время целевыми системами будут гипервизоры ESXi версии 6.x и ранее 6.7».
Чтобы блокировать входящие атаки, администраторы должны отключить уязвимую службу протокола определения местоположения службы (SLP) на гипервизорах ESXi, которые еще не были обновлены.
CERT-FR настоятельно рекомендует установить исправление как можно скорее, но добавляет, что системы, оставшиеся без исправлений, также следует сканировать на наличие признаков компрометации.
CVE-2021-21974 влияет на следующие системы:
ESXi версии 7.x до ESXi70U1c-17325551
ESXi версии 6.7.x до ESXi670-202102401-SG
ESXi версии 6.5.x до ESXi650-202102101-SG
Французский поставщик облачных услуг OVHcloud впервые опубликовал отчет, в котором эта массовая волна атак, нацеленных на серверы VMware ESXi, была связана с операцией программы-вымогателя в Неваде.
«По мнению экспертов из экосистемы, а также властей, они могут быть связаны с программой-вымогателем из Невады и используют CVE-2021-21974 в качестве вектора компрометации. Расследование для подтверждения этих предположений все еще продолжается», — сказал директор по информационной безопасности OVHcloud Жюльен Леврард.
«Атака в первую очередь нацелена на серверы ESXi версии до 7.0 U3i, очевидно, через порт OpenSLP (427)».
Однако вскоре после того, как наша история была опубликована, компания отступила, заявив, что они объяснили это неправильной операцией программы-вымогателя.
В конце первого дня атак было зашифровано около 120 серверов ESXi.
Однако за выходные их число быстро выросло: по данным Censys, 2400 устройств VMware ESXi по всему миру в настоящее время обнаружены как скомпрометированные в ходе кампании по вымогательству.
В бюллетене, опубликованном 6 февраля, VMware подтвердила, что эта атака использует старые недостатки ESXi, а не уязвимость нулевого дня.
Компания советует администраторам установить последние обновления для серверов ESXi и отключить службу OpenSLP, которая отключена по умолчанию с 2021 года.
В целом, кампания по вымогательству не имела большого успеха, учитывая большое количество зашифрованных устройств: служба отслеживания платежей выкупа Ransomwhere сообщила только о четырех платежах выкупа на общую сумму 88 000 долларов США.
Отсутствие выкупа, вероятно, связано с руководством по восстановлению VMware ESXi, созданным исследователем безопасности Энесом Сонмезом, которое позволяет многим администраторам бесплатно перестраивать свои виртуальные машины и восстанавливать свои данные.
Новый вымогатель ESXiArgs
Однако, судя по примечаниям о выкупе, обнаруженным в этой атаке, они не связаны с программой-вымогателем Nevada, а относятся к новому семейству программ-вымогателей.
Примерно четыре часа назад жертвы этой кампании также начали сообщать об атаках на форуме BleepingComputer, прося помощи и дополнительной информации о том, как восстановить свои данные.
Программа-вымогатель шифрует файлы с расширениями .vmxf, .vmx, .vmdk, .vmsd и .nvram на скомпрометированных серверах ESXi и создает файл .args для каждого зашифрованного документа с метаданными (вероятно, необходимыми для расшифровки).
В то время как субъекты угрозы, стоящие за этой атакой, утверждают, что украли данные, одна жертва сообщила на форумах BleepingComputer, что в их инциденте этого не было.
«Наше расследование показало, что данные не были заражены. В нашем случае на атакованной машине было более 500 ГБ данных, но обычное ежедневное использование составляло всего 2 Мбит/с. Мы просмотрели статистику трафика за последние 90 дней и не обнаружили доказательств исходящих данных. перевод", - сказал админ.
Жертвы также нашли заметки о выкупе под названием «ransom.html» и «Как восстановить ваши файлы.html» в заблокированных системах. Другие сказали, что их заметки представляют собой текстовые файлы.
Майкл Гиллеспи из ID Ransomware в настоящее время отслеживает программу-вымогатель под именем «ESXiArgs», но сообщил BleepingComputer, что, пока мы не найдем образец, невозможно определить, есть ли у него какие-либо недостатки в шифровании.
BleepingComputer имеет специальную тему поддержки ESXiArgs, где люди сообщают о своем опыте с этой атакой и получают помощь в восстановлении машин.
Технические детали ESXiArgs
Прошлой ночью администратор получил копию шифровальщика ESXiArgs и связанного сценария оболочки и поделился им в теме поддержки BleepingComputer.
Анализ скрипта и шифровальщика позволил нам лучше понять, как проводились эти атаки.
При взломе сервера в папке /tmp сохраняются следующие файлы:
encrypt — исполняемый файл ELF-шифровальщика.
encrypt.sh — сценарий оболочки, который действует как логика атаки, выполняя различные задачи перед запуском шифровальщика, как описано ниже.
public.pem — открытый ключ RSA, используемый для шифрования ключа, который шифрует файл.
motd — примечание о выкупе в текстовом виде, которое будет скопировано в /etc/motd, чтобы оно отображалось при входе в систему. Исходный файл сервера будет скопирован в /etc/motd1.
index.html — примечание о выкупе в формате HTML, которое заменит домашнюю страницу VMware ESXi. Исходный файл сервера будет скопирован в index1.html в той же папке.
«Открытый.pem, который он ожидает, является открытым ключом RSA (я предполагаю, что это RSA-2048, основанный на просмотре зашифрованных файлов, но код технически принимает любой действительный PEM)», — написал Гиллеспи в теме поддержки на форуме.
«Для файла для шифрования он генерирует 32 байта с использованием защищенного CPRNG RAND_pseudo_bytes OpenSSL, а затем этот ключ используется для шифрования файла с использованием Sosemanuk, безопасного потокового шифра. Ключ файла шифруется с помощью RSA (OpenSSL RSA_public_encrypt) и добавляется к конец файла».
«Использование алгоритма Sosemanuk довольно уникально и обычно используется только в программах-вымогателях, полученных из исходного кода Babuk (вариант ESXi). Возможно, это так, но они модифицировали его для использования RSA вместо реализации Babuk Curve25519».
Этот анализ показывает, что ESXiArgs, вероятно, основан на утечке исходного кода Babuk, который ранее использовался другими кампаниями по вымогательству ESXi, такими как CheersCrypt и шифровальщик PrideLocker группы Quantum/Dagon.
Хотя примечания о выкупе для ESXiArgs и Cheerscrypt очень похожи, метод шифрования отличается, поэтому неясно, является ли это новым вариантом или просто общей кодовой базой Babuk.
Шифровальщик выполняется файлом сценария оболочки, который запускает его с различными аргументами командной строки, включая файл с открытым ключом RSA, файл для шифрования, фрагменты данных, которые не будут зашифрованы, размер блока шифрования и файл. размер.
Этот шифратор запускается с помощью сценария оболочки encrypt.sh, который действует как логика атаки, которую мы кратко опишем ниже.
При запуске сценарий выполнит следующую команду для изменения файлов конфигурации виртуальной машины ESXi (.vmx), чтобы строки «.vmdk» и «.vswp» были изменены на «1.vmdk» и «1.vswp».
https://www.bleepingcomputer.com/news/security/massive-esxiargs-ransomware-attack-targets-vmware-esxi-servers-worldwide/
Новые атаки программ-вымогателей ESXiArgs теперь шифруют большие объемы данных, что значительно усложняет, если не делает невозможным, восстановление зашифрованных виртуальных машин VMware ESXi.
В прошлую пятницу массированная и широко распространенная автоматизированная атака программ-вымогателей зашифровала более 3000 серверов VMware ESXi, доступных в Интернете, с помощью новой программы-вымогателя ESXiArgs.
В предварительных отчетах указывалось, что устройства были взломаны с использованием старых уязвимостей VMware SLP. Однако некоторые жертвы заявили, что SLP был отключен на их устройствах и все еще был взломан и зашифрован.
При шифровании устройства скрипт encrypt.sh ищет файлы виртуальной машины, соответствующие следующим расширениям:
Для каждого найденного файла скрипт проверяет размер файла и, если размер файла меньше 128 МБ, шифрует весь файл с шагом 1 МБ.
Однако для файлов размером более 128 МБ будет вычисляться «size_step», что заставит шифровальщик попеременно шифровать 1 МБ данных и не шифровать фрагменты (size_step в мегабайтах) данных.
Сценарий encrypt.sh использует следующую формулу (слегка измененную для удобочитаемости), чтобы определить, какой size_step следует использовать:
Это означает, что для файла размером 4,5 ГБ он будет генерировать size_step равным «45», заставляя шифровальщик чередовать шифрование 1 МБ файла и пропуск 45 МБ файла. Итак, как вы можете видеть, довольно много данных остается незашифрованным к моменту завершения шифрования файла.
Для еще больших файлов, таких как файл размером 450 ГБ, объем пропущенных данных резко возрастает, при этом size_step становится равным «4607», теперь чередуется шифрование 1 МБ и пропуск 4,49 ГБ данных.
Из-за этих больших фрагментов незашифрованных данных исследователи разработали метод восстановления виртуальных машин с использованием больших и в основном незашифрованных плоских файлов, в которых хранятся данные диска виртуальной машины.
Сценарий, созданный CISA, позже автоматизировал этот процесс восстановления.
Процесс шифрования изменен
К сожалению, сегодня началась вторая волна программ-вымогателей ESXiArgs, которые включают в себя модифицированную процедуру шифрования, которая шифрует гораздо больше данных в больших файлах.
BleepingComputer впервые узнал о второй волне после того, как администратор опубликовал в теме поддержки ESXiArgs сообщение о том, что их сервер был зашифрован и не может быть восстановлен с помощью методов, которые работали ранее.
Поделившись образцами с BleepingComputer, мы заметили, что шифратор не изменился, но подпрограмма size_step скрипта encrypt.sh была удалена и просто установлена в 1 в новой версии.
Это изменение проиллюстрировано ниже в сравнении исходного вычисления size_step encrypt.sh (слева) в первой волне атак с новым сценарием оболочки (справа) во второй волне.
Эксперт по программам-вымогателям Майкл Гиллеспи сообщил, что это изменение заставляет шифровальщик чередовать шифрование 1 МБ данных и пропуск 1 МБ данных.
Все файлы размером более 128 МБ теперь будут иметь 50% зашифрованных данных, что делает их, вероятно, невосстановимыми.
Это изменение также препятствует успешному восстановлению машин предыдущими инструментами восстановления, поскольку в плоских файлах будет слишком много зашифрованных данных, чтобы их можно было использовать.
Эта вторая волна атаки также внесла незначительные изменения в примечание о выкупе, больше не включая биткойн-адреса в примечание о выкупе, как показано ниже.
Удаление биткойн-адресов, вероятно, произошло из-за того, что они были собраны исследователями безопасности для отслеживания выплат выкупа.
Однако, что еще более тревожно, администратор, который поделился новыми образцами, сказал, что SLP отключен на их сервере, но все равно снова взломан. Они также проверили наличие бэкдора vmtool.py, замеченного в предыдущих атаках, и не нашли его.
С отключенным SLP становится еще более запутанным вопрос о том, как этот сервер был взломан.
BleepingComputer по-прежнему рекомендует пытаться восстановить зашифрованные серверы ESXi с помощью сценария восстановления CISA.
Однако он, скорее всего, больше не будет работать, если вы были заражены во время второй волны атак с использованием новой процедуры шифрования.
https://www.bleepingcomputer.com/news/security/new-esxiargs-ransomware-version-prevents-vmware-esxi-recovery/
Кибергруппа Clop утверждает, что стоит за недавними атаками, которые использовали уязвимость в нулевом дне в инструменте Googhwhere MFT Secure File Transform, заявив, что они украли данные из более чем 130 организаций.
Недостаток безопасности, который теперь отслеживается как CVE-2023-0669, позволяет злоумышленникам получить удаленное выполнение кода на непропатченных экземплярах GoAnywhere MFT с их административной консолью, подверженной доступу в Интернете.
Clop обратился к BleepingComputer и сказал нам, что они якобы украли данные в течение десяти дней после нарушения уязвимых серверов для использования таргетинга этой ошибки.
Они также утверждали, что они могут перемещаться по боковым направлениям через сети своих жертв и развернуть полезные нагрузки вымогателей, чтобы зашифровать системы, но решили не делать этого и только украли документы, хранящиеся на скомпрометированных GoAnywhere MFT.
Группа отказалась предоставить доказательства или поделиться дополнительной информацией о своих вторжения, когда BleepingComputer спросил их, когда начались атаки, если они уже начали вымогать своих жертв, и какие выкупы они просили.
BleepingComputer не мог самостоятельно подтвердить действия Clop, и Forta не ответил на электронные письма с просьбой получить дополнительную информацию о эксплуатации CVE-2013-0669 и обвинениях группы вымогателей,
Разработчик Goanywhere MFT Fortra (ранее известный как Helpsystems) на прошлой неделе сообщил своим клиентам, что уязвимость эксплуатируется как нулевой день в дикой природе.
На следующий день компания выпустила обновления аварийной безопасности, чтобы позволить клиентам защитить свои серверы от входящих попыток атаки.
«Мы определили, что несанкционированная сторона получила доступ к системам через ранее неизвестный эксплойт и создала несанкционированные учетные записи пользователей», - сказал Fortra.
CISA также добавил уязвимость CVE-2023-0669 Goanywhere MFT в свой известный каталог эксплуатируемых уязвимостей в пятницу, приказывая федеральным агентствам исправлять свои системы в течение следующих трех недель, до 3 марта.
В то время как Shodan показывает, что более 1000 экземпляров Goanywhere, доступных из интернета, только 135 находятся на портах 8000 и 8001 (те, которые используются уязвимой консоли администратора).
https://www.bleepingcomputer.com/news/security/clop-ransomware-claims-it-breached-130-orgs-using-goanywhere-zero-day/
В феврале разработчики решения для передачи файлов GoAnywhere MFT предупредили клиентов о том, что на открытых административных консолях используется уязвимость нулевого дня для удаленного выполнения кода.
GoAnywhere — это решение для безопасной передачи файлов через Интернет, которое позволяет компаниям безопасно передавать зашифрованные файлы своим партнерам, сохраняя при этом подробные журналы аудита того, кто получил доступ к файлам.
Хотя никаких подробностей о том, как использовалась уязвимость, не сообщалось, вскоре был выпущен экспериментальный эксплойт, а затем исправление для этой уязвимости.
На следующий день после выпуска патча GoAnywhere кибергруппа Clop заявила, что несет ответственность за атаки.
Группа заявила, что они использовали уязвимость в течение десяти дней, чтобы украсть данные у 130 компаний.
С тех пор две компании, Community Health Systems (CHS) и Hatch Bank, сообщили, что данные были украдены в ходе атак GoAnywhere MFT.
Клоп начинает вымогать деньги у клиентов GoAnywhere
Недавно Clop начал публично эксплуатировать жертв атак GoAnywhere, добавив семь новых компаний на свой сайт утечки данных.
Общеизвестно, что только одна из жертв, Hatch Bank, была взломана с помощью этой уязвимости.
Хотя неясно, сколько требуют злоумышленники, ранее в декабре 2020 года они требовали выкуп в размере 10 миллионов долларов в аналогичных атаках с использованием уязвимости нулевого дня Accellion FTA.
Во время этих атак группа вымогателей украла большие объемы данных почти у 100 компаний по всему миру, при этом злоумышленники медленно сливали данные из компаний, требуя выкупа в миллионы долларов.
В число организаций, чьи серверы Accellion были взломаны, входят, среди прочего, энергетический гигант Shell, фирма по кибербезопасности Qualys, гигант супермаркетов Kroger и несколько университетов по всему миру, таких как Стэнфордский медицинский университет, Университет Колорадо, Университет Майами, Калифорнийский университет и Университет Мэриленда. Балтимор (UMB).
https://www.bleepingcomputer.com/news/security/clop-ransomware-gang-begins-extorting-goanywhere-zero-day-victims/
Medusa Ransomware, начала набирать обороты в 2023 году, нацеленная на корпоративных жертв по всему миру с требованиями выкупа на миллионы долларов.
Операция «Медуза» началась в июне 2021 года, но ее активность была относительно низкой, жертв было немного. Однако в 2023 году группа активизировалась и запустила «блог Медузы», используемый для утечки данных о жертвах, отказавшихся платить выкуп.
На этой неделе Medusa привлекла внимание СМИ после того, как они взяли на себя ответственность за нападение на район государственных школ Миннеаполиса (MPS) и поделились видео с украденными данными.
Из-за часто используемого имени были некоторые запутанные отчеты об этом семействе программ-вымогателей, и многие думали, что это то же самое, что и MedusaLocker.
Однако действия программ-вымогателей Medusa и MedusaLocker совершенно разные.
Операция MedusaLocker была запущена в 2019 году как Ransomware-as-a-Service с многочисленными аффилированными лицами, запиской о выкупе, обычно называемой How_to_back_files.html, и широким спектром расширений файлов для зашифрованных файлов.
Операция MedusaLocker использует для переговоров веб-сайт Tor по адресу qd7pcafncosqfqu3ha6fcx4h6sr7tzwagzpcdcnytiw3b6varaeqv5yd.onion.
Однако операция по вымогательству Medusa началась примерно в июне 2021 года и использовала записку с требованием выкупа под названием !!!READ_ME_MEDUSA!!!.txt и статическое зашифрованное расширение файла .MEDUSA.
Операция Medusa также использует веб-сайт Tor для переговоров о выкупе, но их сайт находится по адресу medusacegu2ufmc3kx2kkqicrlcxdettsjcenhjena6uannk5f4ffuyd.onion.
Как Medusa шифрует Windows-устройства
BleepingComputer смог проанализировать шифратор Medusa только для Windows, и пока неизвестно, есть ли у них такой шифратор для Linux.
Шифровальщик Windows принимает параметры командной строки, которые позволяют злоумышленнику настроить способ шифрования файлов на устройстве, как показано ниже.
При обычном запуске без аргументов командной строки программа-вымогатель Medusa завершит работу более 280 служб и процессов Windows для программ, которые могут препятствовать шифрованию файлов. К ним относятся службы Windows для почтовых серверов, серверов баз данных, серверов резервного копирования и программного обеспечения для обеспечения безопасности.
Затем программа-вымогатель удалит теневые копии томов Windows, чтобы предотвратить их использование для восстановления файлов.
Эксперт по программам-вымогателям Майкл Гиллеспи также проанализировал шифровальщик и сообщил BleepingComputer, что он шифрует файлы, используя шифрование AES-256 + RSA-2048 с использованием библиотеки BCrypt.
Гиллеспи также подтвердил, что метод шифрования, используемый в Medusa, отличается от метода, используемого в MedusaLocker.
При шифровании файлов программа-вымогатель будет добавлять расширение .MEDUSA к именам зашифрованных файлов
В каждой папке программа-вымогатель создаст заметку о выкупе с именем !!!READ_ME_MEDUSA!!!.txt, содержащую информацию о том, что случилось с файлами жертвы.
Записка о выкупе также будет включать контактную информацию расширения, в том числе сайт утечки данных Tor, сайт переговоров Tor, канал Telegram, идентификатор Tox и адрес электронной почты [email protected].
Сайт переговоров Tor находится по адресу http://medusacegu2ufmc3kx2kkqicrlcxdettsjcenhjena6uannk5f4ffuyd.onion.
В качестве дополнительного шага, чтобы предотвратить восстановление файлов из резервных копий, программа-вымогатель Medusa выполнит следующую команду, чтобы удалить локально сохраненные файлы, связанные с программами резервного копирования, такими как Windows Backup. Эта команда также удалит виртуальные жесткие диски (VHD), используемые виртуальными машинами.
https://www.bleepingcomputer.com/news/security/medusa-ransomware-gang-picks-up-steam-as-it-targets-companies-worldwide/
Появилась новая кибергруппа под названием «Money Message», нацеленная на жертв по всему миру и требующая выкупа в миллионы долларов за то, чтобы не произошла утечка данных и за выпуск дешифратора.
О новой программе-вымогателе впервые появилось сообщение на форумах BleepingComputer 28 марта 2023 года, а ThreatLabz Zscaler вскоре после публикации информации в Twitter.
В настоящее время злоумышленник перечисляет на своем сайте вымогателей двух жертв, одной из которых является азиатская авиакомпания с годовым доходом около 1 миллиарда долларов. Кроме того, злоумышленники утверждают, что украли у компании файлы, и в качестве доказательства нарушения прикрепляют скриншот файловой системы, к которой был получен доступ.
Как Money Message шифрует компьютер
Шифровальщик написан на C++ и включает в себя встроенный файл конфигурации JSON, определяющий способ шифрования устройства.
Этот файл конфигурации включает в себя, какие папки блокировать от шифрования, какое расширение добавлять, какие службы и процессы следует завершать, включено ли ведение журнала, а также имена и пароли для входа в домен, которые, вероятно, используются для шифрования других устройств.
В образце, проанализированном BleepingComputer, программа-вымогатель не будет шифровать файлы в следующих папках:
При запуске он удалит копии теневых томов с помощью следующей команды: Программа-вымогатель завершит следующие процессы: Затем программа-вымогатель отключает следующие службы Windows: При шифровании файлов расширение не добавляется, но это может измениться в зависимости от жертвы. По словам исследователя безопасности, шифровальщик использует шифрование ChaCha20/ECDH при шифровании файлов.
Единственными файлами, исключенными из шифрования по умолчанию, являются: После шифрования устройства программа-вымогатель создаст записку с требованием выкупа с именем money_message.log, содержащую ссылку на сайт переговоров TOR, используемый для переговоров с злоумышленниками.
Программа-вымогатель также предупредит, что опубликует любые украденные данные на своем сайте утечки данных, если выкуп не будет выплачен.
Хотя шифратор, используемый группой, не выглядит сложным, было подтверждено, что операция успешно крадет данные и шифрует устройства во время их атак.
https://www.bleepingcomputer.com/news/security/new-money-message-ransomware-demands-million-dollar-ransoms/
Было замечено, что операторы ALPHV/BlackCat использует три уязвимости, влияющие на продукт Veritas Backup для начального доступа к целевой сети.
Операция по вымогательству ALPHV началась в декабре 2021 года и, как считается, управляется бывшими участниками программ Darkside и Blackmatter, которые были внезапно закрыты, чтобы избежать давления со стороны правоохранительных органов.
Mandiant отслеживает филиал ALPHV как «UNC4466» и отмечает, что этот метод представляет собой отклонение от типичного вторжения, основанного на украденных учетных данных.
Используемые недостатки
Mandiant сообщает, что 22 октября 2022 года она наблюдала первые случаи эксплуатации уязвимостей Veritas в дикой природе. Уязвимости с высокой степенью серьезности, на которые нацелен UNC4466:
CVE-2021-27876: Уязвимость произвольного доступа к файлам, вызванная ошибкой в схеме аутентификации SHA, позволяет удаленному злоумышленнику получить несанкционированный доступ к уязвимым конечным точкам. (оценка CVSS: 8,1)
CVE-2021-27877: Удаленный несанкционированный доступ и выполнение привилегированных команд агенту BE через аутентификацию SHA. (оценка CVSS: 8,2)
CVE-2021-27878: Уязвимость выполнения произвольной команды возникает из-за ошибки в схеме аутентификации SHA, что позволяет удаленному злоумышленнику получить несанкционированный доступ к уязвимым конечным точкам. (оценка CVSS: 8,8)
Все три недостатка влияют на программное обеспечение Veritas Backup. Поставщик раскрыл их в марте 2021 года и выпустил исправление с версией 21.2. Однако, несмотря на то, что с тех пор прошло более двух лет, многие конечные точки остаются уязвимыми, поскольку они не обновлены до безопасной версии.
Mandiant говорит, что коммерческая служба сканирования показала, что в общедоступной сети есть более 8500 IP-адресов, которые рекламируют службу «Symantec/Veritas Backup Exec ndmp» на порту по умолчанию 10000, а также на портах 9000 и 10001.
«Хотя этот результат поиска не идентифицирует напрямую уязвимые системы, поскольку версии приложений не удалось идентифицировать, он демонстрирует преобладание экземпляров, открытых в Интернете, которые потенциально могут быть исследованы злоумышленниками», — Mandiant.
Согласно Mandiant, UNC4466 начал использовать конкретный модуль через месяц после того, как он стал доступен.
Детали атаки
Согласно наблюдениям Mandiant, UNC4466 компрометирует открытый в Интернете сервер Windows, на котором работает Veritas Backup Exec, с помощью общедоступного модуля Metasploit и поддерживает постоянный доступ к хосту.
После первоначальной компрометации злоумышленник использовал утилиты Advanced IP Scanner и ADRecon для сбора информации о среде жертвы.
Затем они загрузили на хост дополнительные инструменты, такие как LAZAGNE, LIGOLO, WINSW, RCLONE и, наконец, шифровальщик вымогателя ALPHV через фоновую интеллектуальную службу передачи (BITS).
Злоумышленник использовал туннелирование SOCKS5 для связи с сервером управления и контроля (C2).
Исследователи объясняют, что UNC4466 использовал передачу BITS для загрузки инструментов туннелирования SOCKS5 и развернул полезную нагрузку программы-вымогателя, добавив немедленные задачи в политику домена по умолчанию, отключив программное обеспечение безопасности и запустив шифратор.
Чтобы повысить привилегии, UNC4466 использует Mimikatz, LaZagne и Nanodump для кражи действительных учетных данных пользователя.
Наконец, субъект угрозы уклоняется от обнаружения, очищая журналы событий и отключая функцию мониторинга Microsoft Defender в реальном времени.
Отчет Mandiant содержит рекомендации, которым защитники могут следовать, чтобы своевременно обнаруживать атаки UNC4466 и смягчать их до того, как полезная нагрузка ALPHV будет выполнена в их системах.
https://www.bleepingcomputer.com/news/security/alphv-ransomware-exploits-veritas-backup-exec-bugs-for-initial-access/
LockBit впервые создала шифровальщики, нацеленные на Mac, что, вероятно, станет первой крупной операцией по вымогательству, специально предназначенной для macOS.
Новые шифровальщики были обнаружены исследователем кибербезопасности MalwareHunterTeam, который нашел на VirusTotal ZIP-архив, который, по-видимому, содержал большинство доступных шифровальщиков LockBit.
Исторически сложилось так, что операция LockBit использует шифраторы, предназначенные для атак на серверы Windows, Linux и VMware ESXi. Однако, как показано ниже, этот архив [VirusTotal] также содержал ранее неизвестные шифраторы для процессоров macOS, ARM, FreeBSD, MIPS и SPARC.
Эти шифраторы также включают один с именем «locker_Apple_M1_64» [VirusTotal], который нацелен на более новые компьютеры Mac, работающие на Apple Silicon. В архиве также есть локеры для процессоров PowerPC, которые используют старые Mac.
Дальнейшее исследование, проведенное исследователем кибербезопасности Флорианом Ротом, обнаружило шифратор Apple M1, загруженный на VirusTotal в декабре 2022 года, что указывает на то, что эти образцы уже некоторое время циркулируют.
https://www.bleepingcomputer.com/news/security/lockbit-ransomware-encryptors-found-targeting-mac-devices/
Microsoft объяснила недавние атаки на серверы Papercut к операциям вымогателей Clop и Lockbit, которые использовали уязвимости для кражи корпоративных данных.
В прошлом месяце на сервере приложений PaperCut были исправлены две уязвимости, которые позволяют удаленным злоумышленникам произвести неавторизованное выполнение удаленного кода и раскрытие информации:
CVE-2023–27350 / ZDI-CAN-18987 / PO-1216: Недостоверное избавление от удаленного выполнения кода, влияющее на все версии Papercut MF или NG 8.0 или более поздней версии на всех платформах ОС, как для серверов применения, так и для серверов сайта. (CVSS v3.1 Оценка: 9,8 - критическая)
CVE-2023–27351 / ZDI-CAN-19226 / PO-1219: Недостаточный недостаток информации о раскрытии информации, влияющий на все версии Papercut MF или NG 15.0 или позже на платформах ОС для серверов приложений. (CVSS v3.1 Оценка: 8,2 - высокая)
19 апреля PaperCut сообщил, что эти недостатки активно эксплуатировались в дикой природе, призывая администраторов обновить свои серверы до последней версии.
POC эксплойт для использования данного RCE был выпущен через несколько дней, что позволило актерам угроз атаковать серверы, используя эти эксплойты.
После того, как они получили доступ к серверу, они развернули вредоносное ПО TrueBot, которая также была ранее связана с операцией вымогателей Clop.
В конечном счете, Microsoft говорит, что маяк Cobalt Strike был развернут и использовался для распространения в боковом направлении через сеть при краже данных с использованием приложения Megasync File.
В дополнение к CLOP, Microsoft говорит, что некоторые вторжения привели к атакам вымогателей Lockbit. Тем не менее, неясно, начались ли эти атаки после того, как эксплойты были опубликованы.
Microsoft рекомендует администраторам применять доступные патчи как можно скорее, так как другие актеры угроз, вероятно, начнут использовать уязвимости.
Все организации, использующие Papercut MF или NG, настоятельно рекомендуются перейти на версии 20.1.7, 21.2.11 и 22.0.9 немедленно и позже, чтобы исправить эти уязвимости.
https://www.bleepingcomputer.com/news/security/clop-lockbit-ransomware-gangs-behind-papercut-server-attacks/
расследует утечку предполагаемых закрытых ключей, используемых функцией безопасности Intel Boot Guard, что может повлиять на ее способность блокировать установку вредоносного встроенного ПО UEFI на устройства MSI.
В марте группа ransomware атаковала компьютерное оборудование производителя MSI, заявив, что во время атаки украла 1,5 ТБ данных, включая прошивку, исходный код и базы данных.
Злоумышленники потребовали выкуп в размере 4 000 000 долларов и, не получив денег, начала сливать данные для MSI на своем сайте утечки данных.
На прошлой неделе злоумышленники начали утечку украденных данных MSI, включая исходный код прошивки, используемой материнскими платами компании.
Intel Boot Guard пострадал от атаки
В пятницу Алекс Матросов, генеральный директор платформы безопасности цепочки поставок микропрограмм Binarly, предупредил, что утечка исходного кода содержит закрытые ключи для подписи изображений для 57 продуктов MSI и закрытые ключи Intel Boot Guard для 116 продуктов MSI.
«Компания Intel знает об этих отчетах и ведет активное расследование. Исследователи утверждают, что в данные включены закрытые ключи подписи, в том числе ключи подписи MSI OEM для Intel® BootGuard», — сообщила Intel BleepingComputer в ответ на наши вопросы об утечке.
Матросов сказал, что эта утечка могла привести к тому, что Intel Boot Guard не работал на устройствах MSI, использующих процессоры «11th Tiger Lake, 12th Adler Lake и 13th Raptor Lake».
«Утечка ключей Intel Boot Guard влияет на всю экосистему (не только на MSI) и делает эту функцию безопасности бесполезной».
Это связано с тем, что вредоносная прошивка загружается до загрузки операционной системы, что позволяет ей скрыть свою деятельность от ядра и программного обеспечения безопасности, сохраняется даже после переустановки операционной системы и помогает установить вредоносное ПО на скомпрометированные устройства.
Для защиты от вредоносной микропрограммы Intel Boot Guard проверяет, подписан ли образ микропрограммы с помощью законного закрытого ключа подписи с использованием встроенного открытого ключа, встроенного в оборудование Intel.
Если микропрограмму можно проверить как законно подписанную, Intel Boot Guard разрешит ее загрузку на устройство. Однако, если подпись не пройдена, прошивка не сможет загрузиться.
Самая большая проблема с этой утечкой заключается в том, что открытые ключи, используемые для проверки прошивки, подписанной с использованием утекших ключей, как полагают, встроены в оборудование Intel. Если их нельзя изменить, функция безопасности больше не заслуживает доверия на устройствах, использующих эти украденные ключи.
«В утечке исходного кода MSI были обнаружены закрытые ключи манифеста (KM) и манифеста политики загрузки (BPM). Эти ключи используются для технологии Boot Guard, которая обеспечивает проверку образа прошивки с помощью аппаратного корня доверия», — предупреждает Binarly в бюллетене. поделился в Твиттере.
«Хеш открытого ключа OEM Root RSA от менеджера KM запрограммирован в программируемом поле набора микросхем (FPF). Основная цель KM — сохранить хэш открытого ключа RSA из BPM, который, в свою очередь, содержит информацию о загрузке Политика, описание начального загрузочного блока (IBB) и его хэш».
Хотя эти ключи вряд ли помогут большинству злоумышленников, некоторые опытные злоумышленники ранее использовали в атаках вредоносные микропрограммы, такие как вредоносное ПО CosmicStrand и BlackLotus UEFI.
Binarly опубликовала список затронутого оборудования MSI, включающий 116 устройств MSI, которые, как сообщается, были скомпрометированы утечкой ключей Intel Boot Guard.
https://www.bleepingcomputer.com/news/security/intel-investigating-leak-of-intel-boot-guard-private-keys-after-msi-breach/
Все большее число операций с программами-вымогателями используют просочившийся исходный код программы-вымогателя Babuk для создания шифровальщиков Linux, нацеленных на серверы VMware ESXi.
Исследователи безопасности SentinelLabs заметили эту растущую тенденцию после того, как заметили быструю смену девяти вариантов программ-вымогателей на основе Babuk, появившихся в период между второй половиной 2022 года и первой половиной 2023 года.
«Существует заметная тенденция к тому, что злоумышленники все чаще используют конструктор Babuk для разработки программ-вымогателей для ESXi и Linux», — сказал Алекс Деламотт, исследователь угроз из SentinelLabs.
Список новых семейств программ-вымогателей, которые использовали его для создания новых шифраторов ESXi на основе Babuk со второго полугодия 2022 года (и соответствующие расширения, добавленные к зашифрованным файлам), включает Play (.FinDom), Mario (.emario), Conti POC (.conti). , REvil, также известный как Revix (.rhkrc), программа-вымогатель Cylance, Dataf Locker, Rorschach, также известный как BabLock, Lock4 и RTM Locker.
К сожалению, его использование другими семействами программ-вымогателей также значительно усложнило идентификацию виновных в атаках, поскольку использование одних и тех же инструментов несколькими участниками значительно усложняет усилия по атрибуции.
Они добавляются ко многим другим уникальным штаммам программ-вымогателей, не основанным на Babuk, нацеленным на виртуальные машины VMware ESXi, обнаруженным в дикой природе в течение нескольких лет.
Утечка исходного кода и ключей дешифрования
Операция по вымогательству Babuk (также известная как Babyk и Babuk Locker) всплыла в начале 2021 года, когда компании были атакованы двойным вымогательством.
https://www.bleepingcomputer.com/news/security/babuk-code-used-by-9-ransomware-gangs-to-encrypt-vmware-esxi-servers/
Было замечено, что группа вымогателей ALPHV (также известная как BlackCat) использует подписанные вредоносные драйверы ядра Windows, чтобы избежать обнаружения программным обеспечением безопасности во время атак.
Драйвер, обнаруженный Trend Micro, представляет собой улучшенную версию вредоносного ПО, известного как «POORTRY», которое Microsoft, Mandiant, Sophos и SentinelOne обнаружили в атаках программ-вымогателей в конце прошлого года.
Вредоносная программа POORTRY представляет собой драйвер ядра Windows, подписанный с использованием украденных ключей, принадлежащих законным учетным записям в программе Microsoft Windows Hardware Developer Program.
Этот вредоносный драйвер использовался хакерской группой UNC3944, также известной как 0ktapus и Scattered Spider, для прерывания работы программного обеспечения безопасности, работающего на устройстве Windows, чтобы избежать обнаружения.
Хотя программное обеспечение безопасности обычно защищено от прерывания или подделки, поскольку драйверы ядра Windows работают с самыми высокими привилегиями в операционной системе, их можно использовать для завершения практически любого процесса.
Trend Micro сообщает, что злоумышленники пытались использовать драйвер POORTRY, подписанный Microsoft, но показатели его обнаружения были высокими после того, как он получил огласку и после того, как ключи для подписи кода были отозваны.
Следовательно, хакеры развернули обновленную версию драйвера ядра POORTRY, подписанную с использованием украденного или просочившегося сертификата перекрестной подписи.
Новый драйвер, используемый программой-вымогателем BlackCat, помогает им повысить свои привилегии на скомпрометированных машинах, а затем остановить процессы, связанные с агентами безопасности.
Вредоносный драйвер ядра Windows
Аналитики говорят, что цифровая подпись ktgn.sys была отозвана; однако драйвер по-прежнему без проблем загружается в 64-разрядных системах Windows с принудительными политиками подписи.
«Из нашего анализа того, что происходит, когда пользователь взаимодействует с этим драйвером, мы заметили, что он использует только один из открытых кодов управления вводом и выводом устройства (IOCTL) — Kill Process, который используется для уничтожения процессов агента безопасности, установленных в системе. », — поясняется в отчете Trend Micro.
Аналитики Trend Micro обнаружили незащищенные следующие команды, которые могут быть отправлены драйверу:
Trend Micro отмечает, что две команды, используемые для обратных вызовов Process/Thread Notification, не работают, что указывает на то, что драйвер в настоящее время находится в стадии разработки или тестирования.
Системным администраторам рекомендуется использовать индикаторы компрометации, используемые Trend Micro, и добавлять вредоносные драйверы, используемые злоумышленниками-вымогателями, в черный список драйверов Windows.
Администраторы Windows также должны убедиться, что включено «Принудительное применение подписи драйверов», что блокирует установку любых драйверов, не имеющих действительной цифровой подписи.
https://www.bleepingcomputer.com/news/security/malicious-windows-kernel-drivers-used-in-blackcat-ransomware-attacks/