Home » International » Les attaques de ransomware exploitent les vulnérabilités de VMware ESXi de manière alarmante
23 mai 2024RédactionRansomware / Virtualisation
Les attaques de ransomware ciblant l’infrastructure VMware ESXi suivent un modèle établi quel que soit le malware de cryptage de fichiers déployé, selon de nouvelles découvertes.
“Les plates-formes de virtualisation sont un composant essentiel de l’infrastructure informatique des organisations, mais elles souffrent souvent de mauvaises configurations et de vulnérabilités inhérentes, ce qui en fait une cible lucrative et très efficace pour les acteurs malveillants”, a déclaré la société de cybersécurité Sygnia. dit dans un rapport partagé avec The Hacker News.
La société israélienne, grâce à ses efforts de réponse aux incidents impliquant diverses familles de ransomwares comme LockBit, HelloKitty, BlackMatter, RedAlert (N13V), Scattered Spider, Akira, Cactus, BlackCat et Cheerscrypt, a constaté que les attaques contre les environnements de virtualisation adhèrent à une séquence d’actions similaire.
Cela comprend les étapes suivantes –
Obtention d’un accès initial via des attaques de phishing, des téléchargements de fichiers malveillants et l’exploitation de vulnérabilités connues dans les actifs accessibles sur Internet
Augmenter leurs privilèges pour obtenir des informations d’identification pour les hôtes ESXi ou vCenter à l’aide d’attaques par force brute ou d’autres méthodes
Valider leur accès à l’infrastructure de virtualisation et déployer le ransomware
Supprimer ou chiffrer les systèmes de sauvegarde, ou dans certains cas, modifier les mots de passe, pour compliquer les efforts de récupération
Exfiltration de données vers des emplacements externes tels que Mega.io, Dropbox ou leurs propres services d’hébergement
Propagation du ransomware sur des serveurs et postes de travail non virtualisés pour élargir la portée de l’attaque
Pour atténuer les risques posés par de telles menaces, il est recommandé aux organisations de garantir une surveillance et une journalisation adéquates, de créer des mécanismes de sauvegarde robustes, d’appliquer des mesures d’authentification fortes, de renforcer l’environnement et de mettre en œuvre des restrictions réseau pour empêcher les mouvements latéraux.
La société de développement en tant que société de cybersécurité Rapid7 a mis en garde contre une campagne en cours depuis début mars 2024 qui utilise des publicités malveillantes sur les moteurs de recherche couramment utilisés pour distribuer des programmes d’installation trojanisés pour WinSCP et PuTTY via des domaines typosquattés et finalement installer des ransomwares.
Ces installateurs contrefaits servent de canal pour abandonner la boîte à outils post-exploitation Sliver, qui est ensuite utilisée pour fournir davantage de charges utiles, y compris une balise Cobalt Strike Beacon utilisée pour le déploiement de ransomwares.
L’activité partage chevauchements tactiques avec des attaques antérieures de ransomware BlackCat qui ont utilisé la publicité malveillante comme vecteur d’accès initial dans le cadre d’une campagne récurrente qui diffuse le malware Nitrogen.
“La campagne affecte de manière disproportionnée les membres des équipes informatiques, qui sont les plus susceptibles de télécharger les fichiers trojanisés tout en recherchant des versions légitimes”, a déclaré le chercheur en sécurité Tyler McGraw. dit.
“L’exécution réussie du malware donne alors à l’auteur de la menace une position privilégiée et entrave l’analyse en brouillant les intentions des actions administratives ultérieures.”
Cette divulgation fait également suite à l’émergence de nouvelles familles de ransomwares comme Bête, MorLock, Synapseet Trinitéle groupe MorLock s’en prenant de manière intensive aux entreprises russes et cryptant les fichiers sans les exfiltrer au préalable.
“Pour le rétablissement de l’accès aux données, le [MorLock] Les attaquants exigent une rançon considérable, qui peut atteindre des dizaines ou des centaines de millions de roubles”, a déclaré la filiale russe du Groupe IB, FACCT.
Notamment, avril 2024 marque également la fin du règne de huit mois de LockBit en tant qu’acteur menaçant avec le plus de victimes, soulignant son a du mal à rester à flot à la suite d’un démantèlement massif des forces de l’ordre plus tôt cette année.
“Cependant, dans une tournure surprenante des événements, LockBit 3.0 n’était pas le groupe de menace le plus important du mois et a enregistré moins de la moitié des attaques observées en mars”, a déclaré la société. dit. “Au lieu de cela, Play était le groupe menaçant le plus actif, suivi peu après par les Hunters.”
Les turbulences dans le monde des ransomwares ont été complétées par des cybercriminels faisant de la publicité pour des réseaux informatiques virtuels cachés (HVNC) et des services d’accès à distance comme Pandore et TMChecker qui pourrait être utilisé pour l’exfiltration de données, le déploiement de logiciels malveillants supplémentaires et la facilitation des attaques de ransomwares.
“Plusieurs courtiers d’accès initial (IAB) et opérateurs de ransomwares utilisent [TMChecker] pour vérifier les données compromises disponibles pour la présence d’informations d’identification valides sur les comptes VPN et de messagerie d’entreprise”, a déclaré Resecurity.
“La montée en puissance simultanée de TMChecker est donc significative car elle réduit considérablement les barrières financières à l’entrée pour les acteurs malveillants cherchant à obtenir un accès d’entreprise à fort impact, soit pour une exploitation primaire, soit pour la vente à d’autres adversaires sur le marché secondaire.”
Vous avez trouvé cet article intéressant ? Suivez-nous sur Twitter et LinkedIn pour lire plus de contenu exclusif que nous publions.
Les attaques de ransomware exploitent les vulnérabilités de VMware ESXi de manière alarmante
Home » International » Les attaques de ransomware exploitent les vulnérabilités de VMware ESXi de manière alarmante
23 mai 2024RédactionRansomware / Virtualisation
Les attaques de ransomware ciblant l’infrastructure VMware ESXi suivent un modèle établi quel que soit le malware de cryptage de fichiers déployé, selon de nouvelles découvertes.
“Les plates-formes de virtualisation sont un composant essentiel de l’infrastructure informatique des organisations, mais elles souffrent souvent de mauvaises configurations et de vulnérabilités inhérentes, ce qui en fait une cible lucrative et très efficace pour les acteurs malveillants”, a déclaré la société de cybersécurité Sygnia. dit dans un rapport partagé avec The Hacker News.
La société israélienne, grâce à ses efforts de réponse aux incidents impliquant diverses familles de ransomwares comme LockBit, HelloKitty, BlackMatter, RedAlert (N13V), Scattered Spider, Akira, Cactus, BlackCat et Cheerscrypt, a constaté que les attaques contre les environnements de virtualisation adhèrent à une séquence d’actions similaire.
Cela comprend les étapes suivantes –
Pour atténuer les risques posés par de telles menaces, il est recommandé aux organisations de garantir une surveillance et une journalisation adéquates, de créer des mécanismes de sauvegarde robustes, d’appliquer des mesures d’authentification fortes, de renforcer l’environnement et de mettre en œuvre des restrictions réseau pour empêcher les mouvements latéraux.
La société de développement en tant que société de cybersécurité Rapid7 a mis en garde contre une campagne en cours depuis début mars 2024 qui utilise des publicités malveillantes sur les moteurs de recherche couramment utilisés pour distribuer des programmes d’installation trojanisés pour WinSCP et PuTTY via des domaines typosquattés et finalement installer des ransomwares.
Ces installateurs contrefaits servent de canal pour abandonner la boîte à outils post-exploitation Sliver, qui est ensuite utilisée pour fournir davantage de charges utiles, y compris une balise Cobalt Strike Beacon utilisée pour le déploiement de ransomwares.
L’activité partage chevauchements tactiques avec des attaques antérieures de ransomware BlackCat qui ont utilisé la publicité malveillante comme vecteur d’accès initial dans le cadre d’une campagne récurrente qui diffuse le malware Nitrogen.
“La campagne affecte de manière disproportionnée les membres des équipes informatiques, qui sont les plus susceptibles de télécharger les fichiers trojanisés tout en recherchant des versions légitimes”, a déclaré le chercheur en sécurité Tyler McGraw. dit.
“L’exécution réussie du malware donne alors à l’auteur de la menace une position privilégiée et entrave l’analyse en brouillant les intentions des actions administratives ultérieures.”
Cette divulgation fait également suite à l’émergence de nouvelles familles de ransomwares comme Bête, MorLock, Synapseet Trinitéle groupe MorLock s’en prenant de manière intensive aux entreprises russes et cryptant les fichiers sans les exfiltrer au préalable.
“Pour le rétablissement de l’accès aux données, le [MorLock] Les attaquants exigent une rançon considérable, qui peut atteindre des dizaines ou des centaines de millions de roubles”, a déclaré la filiale russe du Groupe IB, FACCT.
Notamment, avril 2024 marque également la fin du règne de huit mois de LockBit en tant qu’acteur menaçant avec le plus de victimes, soulignant son a du mal à rester à flot à la suite d’un démantèlement massif des forces de l’ordre plus tôt cette année.
“Cependant, dans une tournure surprenante des événements, LockBit 3.0 n’était pas le groupe de menace le plus important du mois et a enregistré moins de la moitié des attaques observées en mars”, a déclaré la société. dit. “Au lieu de cela, Play était le groupe menaçant le plus actif, suivi peu après par les Hunters.”
Les turbulences dans le monde des ransomwares ont été complétées par des cybercriminels faisant de la publicité pour des réseaux informatiques virtuels cachés (HVNC) et des services d’accès à distance comme Pandore et TMChecker qui pourrait être utilisé pour l’exfiltration de données, le déploiement de logiciels malveillants supplémentaires et la facilitation des attaques de ransomwares.
“Plusieurs courtiers d’accès initial (IAB) et opérateurs de ransomwares utilisent [TMChecker] pour vérifier les données compromises disponibles pour la présence d’informations d’identification valides sur les comptes VPN et de messagerie d’entreprise”, a déclaré Resecurity.
“La montée en puissance simultanée de TMChecker est donc significative car elle réduit considérablement les barrières financières à l’entrée pour les acteurs malveillants cherchant à obtenir un accès d’entreprise à fort impact, soit pour une exploitation primaire, soit pour la vente à d’autres adversaires sur le marché secondaire.”
Share this:
Related
USA vs IRE MISES À JOUR DES SCORE EN DIRECT Coupe du monde T20 2024 à 19 h 30 IST | Nouvelles
23h06 Mises à jour en direct des États-Unis contre l’Irlande : match annulé Le Pakistan est éliminé de
Share this:
Comment économiser sur votre déclaration de revenus 2023
2024-06-17 10:41:19 En principe, les frais de publicité déclarés doivent toujours être prouvés. Dans la pratique, cependant,
Share this:
Les coupes budgétaires vont-elles réduire l’entraîneur des ischio-jambiers Park Joo-Bong et l’aspiration du Japon à des médailles olympiques de Paris en badminton ? | Actualités du badminton
2024-06-16 15:31:16 Park Joo-bong, ancienne légende coréenne du double et directeur du badminton japonais pendant 20 ans,
Share this:
Le mariage de George Clooney et Amal Alamuddin est en danger. Découvrez pourquoi.
Les médias ont affirmé que le mariage de la star internationale George Clooney et de l’avocate internationale
Share this:
RECENT POSTS
7 conseils efficaces pour communiquer avec les gens et établir des contacts utiles
Ces stars qui ne seront pas à la Coupe du Monde
ADVERTISEMENT
Tags