home-blur
2023-03-23 12.25.39
23/03/2023
Новини EASE

Європу та Україну “накрило” хакерською атакою через вірус-шифрувальник. GigaCloud розповідає як захиститись

3 лютого, внаслідок масштабної хакерської атаки, було зашифровано понад3000 серверів бізнесу по всьому світу. За різними оцінками у зоні ризику 18 тисячсерверів та тисячі підприємств, у тому числі і в Україні. Зловмисникивикористовують вірус-шифрувальник ESXiArgs, який атакує сервери VMware ESXi

Хмарний оператор GigaCloud розповів, що це за вірус, хто перебуває підзагрозою та поділився інструкцією, як бізнесу захистити свої дані від шкідливогоПЗ. 

Що таке ESXiArgs?

Це крипто-вимагач, який шифрує дані серверів на основі гіпервізора VMware ESXi, а потім підміняє повідомлення на вході, замінюючи його своїм з вимогою викупу в кілька біткоїнів

Шкідливе ПЗ зашифрувало файли з розширеннями «.vmxf», «.vmx», «.vmdk», «.vmsd» і «.nvram» на скомпрометованих серверах ESXi та створило файл «.args» для кожного зашифрованого документа з метаданими (імовірно, необхідними для розшифрування). У заражених системах ESXiArgs залишив записку з вимогоювикупу у розмірі $50 тис. в біткоїнах, під назвою «ransom.html» та «How to RestoreYour Files.html» у форматі «.html» або «.txt». Фахівці з кібербезпеки заявляють, щорозшифрувати файли неможливо

Коли з’явилась вразливість?

Активність ESXiArgs зафіксували ще восени 2020 року. Тоді компанія VMware випустила патч для усунення однієї з вразливостей, але він був неповним і йогоможна було обійти. Згодом випустила другий патч, який повністю усунуввразливість, пов’язану з можливістю безкоштовного використання (use-after-free, UAF). Вона отримала код CVE-2020-3992. Врешті-решт VMware випустила третійпатч, який повністю усуває переповнення динамічної пам’яті. Йому було присвоєнокод CVE-2021-21974. 

У лютому 2023 року, тобто через два роки після виявлення загрози, хакеривикористали вразливість, щоб атакувати незахищені сервери.

Хто в зоні ризику?

У першу чергу атака зачепила та ще може вразити компанії, які використовуютьзастарілі версії ESXiвід 6.x і до 6.7, а також деякі версії vSphere 7.0, які не булооновлені до останнього виправлення. За оцінками Rapid7, це майже 18 581 сервер по всьому світу.

Я ― клієнт GigaCloud. Чи несе мені загрозу ESXiArgs?

Ні, для вашої інфраструктури у хмарі GigaCloud шифрувальник ESXiArgs не несеніякої загрози. Наша команда підтримує актуальні версії ПЗ та своєчасно закриваєусі вразливості

VMware випустив патч який повністю закриває цю вразливість ще 23 лютого 2021 року. Тоді ж, понад два роки тому, ми одразу закрили її. Ви завжди використовуєтенайактуальнішу версію без багів та вразливостей.

Нагадаємо, що GigaCloud має найвищий партнерський статус VMware PrincipalPartner, що гарантує нашим клієнтам отримання високоякісних послуг на базірішень VMware. 

Хто постраждав?

Точна кількість постраждалих серверів та компаній невідома, але їх тисячі. Згідно з даними Censys, лише за перші три дні активності ESXiArgs в лютому 2023 булозашифровано 3200 серверів. Третина з них знаходилася у Франції, також публічнозаявлено про випадки зараження Верховного суду штату Флорида, шкіл та університетів в Угорщині та Словаччині, а також бізнесу в США, Італії, Німеччині та інших країнах. Є десятки випадків зараження серверів і в Україні, проте компанії не заявляють про це публічно

Як захиститися?

Якщо ви не використовуєте наші хмари, ми рекомендуємо оновити компонентиvSphere до останніх доступних підтримуваних випусків ― 7.0 та вище. Такожпотрібно відключити службу OpenSLP в ESXi

Також ми радимо на постійній основі

Використовувати підтримувані версії програмного забезпечення VMware.
Слідкувати за оновленнями програмного забезпечення VMware.
Використовувати керівництво з налаштування безпеки vSphere, щобпідвищити безпеку IT-інфраструктури
Контролювати доступ до інтерфейсів управління ІТ-інфраструктурою (не тільки vSphere).
Використовувати багатофакторну автентифікацію і передові методиавторизації.
Підписатися на розсилку VMware Security Advisory для завчасногоповідомлення про проблеми.
Перевірити всі вразливі системи на наявність ознак компрометації.

Це загальні поради, і застосувати їх для усіх користувачів рішень VMware ― не розумно. Оскільки безпека IT-інфраструктури залежить від того, де саме вона розміщена

 

Політати на дроні, поспілкуватися з голограмою і пройти VR-практику. Асоціація EASE запустила серію віртуальних екскурсій по IT-компаніям для студенті
Детальніше
Young Hack. Odessa edition. Результати хакатону
Детальніше
IT Факап Night by EASE
Детальніше