Срочно. Хакеры взломали учётные данные vCenter для атаки на корпоративные системы.
Хакеры взломали учётные данные vCenter для атаки на корпоративные системы. Фото: Pixabay
На прошлой неделе компания исправила три критических недостатка в своих продуктах виртуализации. К ним относятся ошибка переполнения буфера в гипервизоре ESXi без операционной системы, а также ошибка, которая могла позволить хакерам выполнять команды в базовой операционной системе, на которой размещён vCenter Server.
Исследователи из CrowdStrike с тех пор выяснили, что две группы, известные как «Carbon Spider» и «Sprite Spider», обновили своё ПО для атак на гипервизор ESXi. Эти группы исторически нацелены на системы Windows, а не на установки Linux, в крупномасштабных кампаниях по вымогательству.
Атаки увенчались успехом, и пострадали жертвы, в том числе организации, которые использовали виртуализацию для размещения многих своих корпоративных систем всего на нескольких серверах ESXi.
«Развёртывая программы-вымогатели на ESXi, Sprite Spider и Carbon Spider, вероятно, намерены нанести больший вред жертвам, чем это может быть достигнуто только их соответствующими семействами программ-вымогателей Windows», - заявили исследователи CrowdStrike Эрик Луи и Сергей Франкофф. — «Шифрование одного сервера ESXi наносит такой же ущерб, как и индивидуальное развёртывание программ-вымогателей на каждой виртуальной машине, размещённой на данном сервере. Следовательно, нацеливание на хосты ESXi также может повысить скорость операций BGH.
Если эти атаки программ-вымогателей на серверы ESXi и дальше будут успешными, вполне вероятно, что в среднесрочной перспективе больше злоумышленников начнут атаковать инфраструктуру виртуализации».
Sprite Spider традиционно запускал кампании BGH с низким объёмам, используя штамм Defray777, сначала пытаясь скомпрометировать контроллеры домена, прежде чем извлекать данные жертвы и шифровать файлы.
Карбон, тем временем, традиционно ориентированные компании, работающие с пунктами-продажи с (POS) устройствами, с начальным доступом предоставляется посредством фишинговых кампаний. Однако в апреле прошлого года группа резко изменила свою операционную модель и вместо этого предприняла широкие и оппортунистические атаки на большое количество жертв. В августе 2020 года он выпустил собственный сорт, получивший название Darkside.
Оба штамма взломали системы ESXI, собирая учётные данные, которые можно использовать для аутентификации в веб-интерфейсе vCenter, который представляет собой централизованный инструмент администрирования сервера, который может управлять несколькими устройствами ESXi.
После подключения к vCenter Sprite Spider включает SSH, чтобы разрешить постоянный доступ к устройствам ESXi, и в некоторых случаях изменяет пароль root или SSH-ключи хоста. Тем временем Carbon Spider получает доступ к vCenter, используя законные учётные данные, но также входит в систему через SSH с помощью инструмента Plink, чтобы удалить свою программу-вымогатель Darkside.
Пока исследователи не приводят специфичных методов борьбы с этими приёмами хакерских атак.
Комментариев пока не было