技術支援
文件
登錄
聯繫我們
SentinelOne警告說,針對VMWare ESXi 的攻擊有所增加
奧班拉·奧佩耶米
實施期間: 2023年5月26 日 - TuxCare專家團隊
SentinelOne已就專門為VMware ESXi系統創建的新勒索軟體系列數量增加發出警告。這些危險的應用程式基於流通的Babuk原始程式碼。
Babuk 勒索軟體家族於 2021 年 1 月首次被發現,因其對多個組織的攻擊而迅速受到關注。但是,該惡意軟體的一名運營商於 2021 年 9 月在線發佈了該惡意軟體的原始程式碼。事實證明,這一漏洞至關重要,使安全研究人員能夠在不到兩個月的時間內創建一個免費的解密工具。
威脅行為者使用發佈的原始程式碼生成了一系列新的勒索軟體菌株。其中包括RTM Locker,Rook和Rorschach(也稱為BabLock),它們都能夠攻擊同時運行Windows和Linux的ESXi伺服器。
據SentinelOne稱,去年至少有十個獨特的勒索軟體家族形成,利用Babuk原始程式碼專門針對VMware ESXi機器。此外,該代碼已被較小的勒索軟體操作獲取,例如House的Mario,Play,Cylance,Dataf Locker,Lock4和XVGV。令人擔憂的是,已經檢測到著名的勒索軟體團夥,如Alphv / BlackCat,Black Basta,Conti,Lockbit和REvil,針對他們對ESXi部署的攻擊。
SentinelOne繼續解釋說,只有Conti和REvil ESXi儲物櫃顯示與洩露的Babuk代碼重疊。這顯示了兩個組之間的可能聯繫。據這家網路安全公司稱,這些勒索軟體活動可能已將ESXiLocker專案外包給普通開發人員或使用共用代碼進行協作。此外,除了使用相同的開源Sosemanuk加密技術外,ESXiArgs Locker與Babuk幾乎沒有相似之處。
根據SentinelOne的說法,威脅行為者越來越多地使用Babuk代碼作為創建ESXi和Linux儲物櫃的基礎。此外,它警告說,攻擊者將來可能會採用Babuk集團基於Go的NAS儲物櫃,因為用於NAS儲物櫃的程式設計語言Golang在威脅行為者中越來越受歡迎。由於目標 NAS 系統大多基於 Linux,因此使用 NAS 儲物櫃可以為攻擊者提供簡單有效的工具來發起勒索軟體攻擊。
但是,這些攻擊的後果超出了ESXi安裝的範圍,因為不同勒索軟體組織之間的協作和代碼共享說明了駭客在尋求經濟利益時使用的策略越來越多。
這篇文章的來源包括 《安全週刊》上的一篇文章。
