至少有一个主要的勒索软件团伙正在利用VMWare ESXi产品中的漏洞接管部署在企业环境中的虚拟机并加密其虚拟硬盘驱动器。
这些攻击,去年10月首次出现,与一个部署了勒索梅克斯勒索软件的犯罪集团实施的入侵有关。
据与ZDNet交谈的多名安全研究人员说,有证据表明攻击者使用了https://www.vmware.com/security/advisories/VMSA-2019-0022.html“target=”\u blank“rel=”noopener noreferrer nofollow“data component=”externalLink“>CVE-2019-5544和CVE-2020-3992,两个漏洞https://www.vmware.com/products/esxi-and-esx.html“target=”\u blank“rel=”noopener noreferrer nofollow“data component=”externalLink“>VMware ESXi,一种虚拟机管理程序解决方案,允许多个虚拟机共享同一硬盘驱动器存储。
这两个漏洞都会影响服务位置协议(SLP),即同一网络上的设备用来发现彼此的协议;ESXi中也包含了该协议。
这些漏洞允许同一网络上的攻击者发送恶意SLP请求即使攻击者没有设法破坏ESXi实例通常向其报告的VMWare vCenter服务器,也无法控制ESXi设备。
在去年发生的攻击中,有人看到,RansomExx团伙进入公司网络上的一个设备,并滥用这个初始入口点攻击本地ESXi实例并加密其虚拟硬盘,用于存储来自多个虚拟机的数据,给公司造成了巨大的中断,由于ESXi虚拟磁盘通常用于集中来自多个其他系统的数据。
有关这些攻击的报告https://old.reddit.com/r/sysadmin/comments/kysqsc/the_esxi\u ransomware\u postmortem/“target=”\u blank“rel=”noopener noreferrer nofollow“data component=”externalLink“>记录在Reddit上,在Twitter上共享,在上个月的安全会议上提出,并在过去两个月的ZDNet访谈中得到证实。
目前,只有RansomExx(也称为Defray777)团伙滥用了这一伎俩,但在上个月的一次神秘更新中,Babuk Locker勒索软件的运营商还宣布了一个惊人的类似功能——尽管成功的攻击尚未得到证实。
依赖VMWare ESXi管理的公司的系统管理员建议他们的虚拟机使用的存储空间要么应用必要的ESXi修补程序,要么新的Trickbot模块使用Masscan进行本地网络侦察
