Срочно. Хакеры взломали учётные данные vCenter для атаки на корпоративные системы.

Хакеры взломали учётные данные vCenter для атаки на корпоративные системы. Фото: Pixabay

На  прошлой неделе компания исправила  три критических недостатка в своих продуктах виртуализации. К ним относятся ошибка переполнения буфера в гипервизоре ESXi без операционной системы, а также ошибка, которая могла позволить хакерам выполнять команды в базовой операционной системе, на которой размещён vCenter Server.

Исследователи из CrowdStrike с  тех пор выяснили, что две группы, известные как «Carbon Spider» и «Sprite Spider», обновили своё ПО для атак на гипервизор ESXi. Эти группы исторически нацелены на системы Windows, а не на установки Linux, в крупномасштабных  кампаниях по вымогательству.

Атаки увенчались успехом, и пострадали жертвы, в том числе организации, которые использовали виртуализацию для размещения многих своих корпоративных систем всего на нескольких серверах ESXi. 

«Развёртывая программы-вымогатели на ESXi, Sprite Spider и Carbon Spider, вероятно, намерены нанести больший вред жертвам, чем это может быть достигнуто только их соответствующими семействами программ-вымогателей Windows», - заявили исследователи CrowdStrike Эрик Луи и Сергей Франкофф. ­— «Шифрование одного сервера ESXi наносит такой же ущерб, как и индивидуальное развёртывание программ-вымогателей на каждой виртуальной машине, размещённой на данном сервере. Следовательно, нацеливание на хосты ESXi также может повысить скорость операций BGH.

Если эти атаки программ-вымогателей на серверы ESXi и дальше будут успешными, вполне вероятно, что в среднесрочной перспективе больше злоумышленников начнут атаковать инфраструктуру виртуализации».

Sprite Spider традиционно запускал кампании BGH с низким объёмам, используя штамм Defray777, сначала пытаясь скомпрометировать контроллеры домена, прежде чем извлекать данные жертвы и шифровать файлы. 

Карбон, тем временем, традиционно ориентированные компании, работающие  с пунктами-продажи  с (POS) устройствами, с начальным доступом предоставляется посредством фишинговых кампаний. Однако в апреле прошлого года группа резко изменила свою операционную модель и вместо этого предприняла широкие и оппортунистические атаки на большое количество жертв. В августе 2020 года он выпустил собственный сорт, получивший название Darkside.

Оба штамма взломали системы ESXI, собирая учётные данные, которые можно использовать для аутентификации в веб-интерфейсе vCenter, который представляет собой централизованный инструмент администрирования сервера, который может управлять несколькими устройствами ESXi. 

После подключения к vCenter Sprite Spider включает SSH, чтобы разрешить постоянный доступ к устройствам ESXi, и в некоторых случаях изменяет пароль root или SSH-ключи хоста. Тем временем Carbon Spider получает доступ к vCenter, используя законные учётные данные, но также входит в систему через SSH с помощью инструмента Plink, чтобы удалить свою программу-вымогатель Darkside.

Пока исследователи не приводят специфичных методов борьбы с этими приёмами хакерских атак.