bencede
New member
ABD bilgi güvenliği otoritesi CISA tarafından bu hafta Çarşamba günü sağlanan kurtarma komut dosyası artık etkili değil. Komut dosyası başlangıçta, ESXiArgs saldırı dalgasından etkilenen VMware ESXi sunucularındaki sanal makinelerin en azından bir kısmını kaydetti. Küresel siber saldırıların arkasındaki kötü niyetli aktörler artık betiklerini değiştirdiler ve artık güvenliği ihlal edilmiş makineleri daha kapsamlı bir şekilde şifreliyorlar.
ESXiArgs Kötü Amaçlı Yazılımı: Küçük Değişiklik, Büyük Etki
Bleepingcomputer’ın bildirdiği gibi, ESXiArgs saldırı dalgasının arkasındaki siber suçlular, sızan VMware sistemlerindeki sanal makineleri şifrelemek için kullanılan kötü amaçlı komut dosyasını değiştirdi. Artık yalnızca küçük parçaları değil, çok daha kapsamlı sanal makine dosyalarını şifreler.
şifreleme betiği encrypt.sh Sonuç olarak, kötü amaçlı yazılım paketi farklı sanal makine dosyalarını arar: .vmdk, .vmx, .vmxf, .vmsd, .vmsn, .vswp, .vmss, .nvram ve .vmem. Analize göre komut dosyası, 128 MB’tan küçük dosyaları 1 MB’lık artışlarla tamamen şifreliyor. Daha büyük dosyalar için orijinal sürüm 1 MB’ı şifreler ve ardından 1 MB’ı yeniden şifrelemek için her zaman dosya boyutunun belirli bir yüzdesini atlar. Atlanacak kısım değişkende ayarlanmıştır. size_step Komut dosyasının boyutu, şifrelenecek dosyanın boyutuna göre hesaplanır.
Bu eksik şifrelemeye dayanarak, CISA tarafından sağlanan komut dosyası, şifrelenmiş dosyaları geri yüklemeye çalıştı. Son saldırılarda bulunan sürümleri encrypt.sh ileri değere sahiptir size_step basitçe 1’e ayarlayın. Sonuç olarak, bulunan dosyalar artık daha sıkı bir şekilde şifrelenir: komut dosyası 1 MB’ı şifreler ve sonraki MB’leri atlar, böylece sonunda dosyanın yarısı şifrelenir.
Bu, CISA kurtarma komut dosyasını otomatikleştiren onarım yönteminin çalışmayı durdurmasına neden olur. Saldırı dalgasındaki bir başka değişiklik de fidye mesajlarını etkiliyor gibi görünüyor. Bunlar artık Bitcoin adresleri içermiyordu. Yazar Lawrence Abrams bunun, BT güvenlik araştırmacılarının fidye ödemelerini izlemek için saldırı dalgasından bilinen adresleri bir GitHub hesabına toplamasıyla ilgili olabileceğinden şüpheleniyor.
Kötü amaçlı yazılımın yeni sürümünün bulaştığı sunucu, VMware tarafından bir karşı önlem olarak önerildiği gibi (Açık)SLP hizmetini devre dışı bırakırdı. Saldırganların VMware’deki diğer güvenlik açıklarını hedefleyip hedeflemediği şu an için net değil.
(dmk)
Haberin Sonu
ESXiArgs Kötü Amaçlı Yazılımı: Küçük Değişiklik, Büyük Etki
Bleepingcomputer’ın bildirdiği gibi, ESXiArgs saldırı dalgasının arkasındaki siber suçlular, sızan VMware sistemlerindeki sanal makineleri şifrelemek için kullanılan kötü amaçlı komut dosyasını değiştirdi. Artık yalnızca küçük parçaları değil, çok daha kapsamlı sanal makine dosyalarını şifreler.
şifreleme betiği encrypt.sh Sonuç olarak, kötü amaçlı yazılım paketi farklı sanal makine dosyalarını arar: .vmdk, .vmx, .vmxf, .vmsd, .vmsn, .vswp, .vmss, .nvram ve .vmem. Analize göre komut dosyası, 128 MB’tan küçük dosyaları 1 MB’lık artışlarla tamamen şifreliyor. Daha büyük dosyalar için orijinal sürüm 1 MB’ı şifreler ve ardından 1 MB’ı yeniden şifrelemek için her zaman dosya boyutunun belirli bir yüzdesini atlar. Atlanacak kısım değişkende ayarlanmıştır. size_step Komut dosyasının boyutu, şifrelenecek dosyanın boyutuna göre hesaplanır.
Bu eksik şifrelemeye dayanarak, CISA tarafından sağlanan komut dosyası, şifrelenmiş dosyaları geri yüklemeye çalıştı. Son saldırılarda bulunan sürümleri encrypt.sh ileri değere sahiptir size_step basitçe 1’e ayarlayın. Sonuç olarak, bulunan dosyalar artık daha sıkı bir şekilde şifrelenir: komut dosyası 1 MB’ı şifreler ve sonraki MB’leri atlar, böylece sonunda dosyanın yarısı şifrelenir.
Bu, CISA kurtarma komut dosyasını otomatikleştiren onarım yönteminin çalışmayı durdurmasına neden olur. Saldırı dalgasındaki bir başka değişiklik de fidye mesajlarını etkiliyor gibi görünüyor. Bunlar artık Bitcoin adresleri içermiyordu. Yazar Lawrence Abrams bunun, BT güvenlik araştırmacılarının fidye ödemelerini izlemek için saldırı dalgasından bilinen adresleri bir GitHub hesabına toplamasıyla ilgili olabileceğinden şüpheleniyor.
Kötü amaçlı yazılımın yeni sürümünün bulaştığı sunucu, VMware tarafından bir karşı önlem olarak önerildiği gibi (Açık)SLP hizmetini devre dışı bırakırdı. Saldırganların VMware’deki diğer güvenlik açıklarını hedefleyip hedeflemediği şu an için net değil.
(dmk)
Haberin Sonu