ABD siber güvenlik otoritesi CISA tarafından bu hafta Çarşamba günü sağlanan kurtarma komut dosyası artık etkili değil. Komut dosyası başlangıçta, ESXiArgs saldırı dalgasından etkilenen VMware ESXi sunucularındaki sanal makinelerin en azından bir kısmının kaydedilmesini mümkün kıldı. Küresel siber saldırıların arkasındaki kötü niyetli aktörler artık betiklerini ayarladılar ve artık güvenliği ihlal edilmiş makineleri daha kapsamlı bir şekilde şifreliyorlar.
ESXiArgs kötü amaçlı yazılımı: Küçük değişiklik, büyük etki
Bleepingcomputer’ın bildirdiği gibi, ESXiArgs saldırı dalgasının arkasındaki siber suçlular, sızan VMware sistemlerindeki sanal makineleri şifrelemek için kullanılan kötü amaçlı komut dosyasını değiştirdi. Artık yalnızca küçük parçaları değil, sanal makinelerin dosyalarını çok daha kapsamlı bir şekilde şifreliyor.
şifreleme betiği encrypt.sh Sonuç olarak, kötü amaçlı yazılım paketi farklı sanal makine dosyalarını arar: .vmdk, .vmx, .vmxf, .vmsd, .vmsn, .vswp, .vmss, .nvram ve .vmem. Analize göre, komut dosyası 128 MB’tan küçük dosyaları 1 MB’lik artışlarla tamamen şifreliyor. Daha büyük dosyalar için orijinal sürüm 1 MB’ı şifreler ve ardından tekrar 1 MB’ı şifrelemek için her zaman dosya boyutunun belirli bir yüzdesini atlar. Atlanacak kısım değişkende ayarlanmıştır. size_step Komut dosyasının boyutu, şifrelenecek dosyanın boyutuna göre hesaplanır.
Bu eksik şifrelemeye dayanarak, CISA tarafından sağlanan komut dosyası, şifrelenmiş dosyaları geri yüklemeye çalıştı. Son saldırılarda bulunan sürümleri encrypt.sh saldırganların değeri var size_step basitçe 1’e ayarlayın. Bu, bulunan dosyaları artık daha eksiksiz bir şekilde şifreleyecektir. [–} 1 MByte verschlüsselt das Skript, das darauffolgende MByte überspringt es, sodass am Ende die Hälfte der Datei verschlüsselt vorliegt.
Dies sorgt dafür, dass die Reparaturmethode, die das CISA-Wiederherstellungsskript automatisiert, nicht mehr funktioniert. Eine weitere Änderung bei der Angriffwelle betrifft offenbar die Erpresser-Nachrichten. Diese enthielten keine Bitcoin-Adressen mehr. Der Autor Lawrence Abrams vermutet, dass das mit der Sammlung bekannter Adressen aus der Angriffswelle durch IT-Sicherheitsforscher zur Nachverfolgung von Lösegeldzahlungen in einem GitHub-Konto zusammenhängen könnte.
Der mit der neuen Malware-Version infizierte Server hatte angeblich den (Open-)SLP-Dienst deaktiviert, wie von VMware als Gegenmaßnahme empfohlen. Es ist derzeit unklar, ob die Angreifer auf weitere Schwachstellen in VMware abzielen.
(dmk)
Haberin Sonu
ESXiArgs kötü amaçlı yazılımı: Küçük değişiklik, büyük etki
Bleepingcomputer’ın bildirdiği gibi, ESXiArgs saldırı dalgasının arkasındaki siber suçlular, sızan VMware sistemlerindeki sanal makineleri şifrelemek için kullanılan kötü amaçlı komut dosyasını değiştirdi. Artık yalnızca küçük parçaları değil, sanal makinelerin dosyalarını çok daha kapsamlı bir şekilde şifreliyor.
şifreleme betiği encrypt.sh Sonuç olarak, kötü amaçlı yazılım paketi farklı sanal makine dosyalarını arar: .vmdk, .vmx, .vmxf, .vmsd, .vmsn, .vswp, .vmss, .nvram ve .vmem. Analize göre, komut dosyası 128 MB’tan küçük dosyaları 1 MB’lik artışlarla tamamen şifreliyor. Daha büyük dosyalar için orijinal sürüm 1 MB’ı şifreler ve ardından tekrar 1 MB’ı şifrelemek için her zaman dosya boyutunun belirli bir yüzdesini atlar. Atlanacak kısım değişkende ayarlanmıştır. size_step Komut dosyasının boyutu, şifrelenecek dosyanın boyutuna göre hesaplanır.
Bu eksik şifrelemeye dayanarak, CISA tarafından sağlanan komut dosyası, şifrelenmiş dosyaları geri yüklemeye çalıştı. Son saldırılarda bulunan sürümleri encrypt.sh saldırganların değeri var size_step basitçe 1’e ayarlayın. Bu, bulunan dosyaları artık daha eksiksiz bir şekilde şifreleyecektir. [–} 1 MByte verschlüsselt das Skript, das darauffolgende MByte überspringt es, sodass am Ende die Hälfte der Datei verschlüsselt vorliegt.
Dies sorgt dafür, dass die Reparaturmethode, die das CISA-Wiederherstellungsskript automatisiert, nicht mehr funktioniert. Eine weitere Änderung bei der Angriffwelle betrifft offenbar die Erpresser-Nachrichten. Diese enthielten keine Bitcoin-Adressen mehr. Der Autor Lawrence Abrams vermutet, dass das mit der Sammlung bekannter Adressen aus der Angriffswelle durch IT-Sicherheitsforscher zur Nachverfolgung von Lösegeldzahlungen in einem GitHub-Konto zusammenhängen könnte.
Der mit der neuen Malware-Version infizierte Server hatte angeblich den (Open-)SLP-Dienst deaktiviert, wie von VMware als Gegenmaßnahme empfohlen. Es ist derzeit unklar, ob die Angreifer auf weitere Schwachstellen in VMware abzielen.
(dmk)
Haberin Sonu