Massive ransomware operation targets VMware ESXi

VMware ESXi सॉफ़्टवेयर पर ये रैंसमवेयर संक्रमण एक भेद्यता के कारण हैं जो 2021 से अस्तित्व में है। सबसे लक्षित देशों का पता लगाएं और अपने संगठन को कैसे सुरक्षित करें।

करने के लिए कूद:

यह रैंसमवेयर अटैक कैसे काम करता है?

CVE-2021-21974 एक भेद्यता है जो OpenSLP को प्रभावित करती है जैसा कि VMware ESXi में उपयोग किया जाता है। उस भेद्यता का सफल शोषण एक हमलावर को मनमाना कोड निष्पादित करने की अनुमति देता है, और मई 2021 से विभिन्न खुले स्रोतों में इस भेद्यता के लिए शोषण पाया जा सकता है।

फ्रांस सरकार की कंप्यूटर इमरजेंसी रिस्पांस टीम सीईआरटी-एफआर 3 फरवरी, 2023 को इस भेद्यता का फायदा उठाने वाले रैनसमवेयर के बारे में सबसे पहले अलर्ट जारी करने वाली थी, जिसके तुरंत बाद फ्रांसीसी होस्टिंग प्रदाता ओवीएच ने अलर्ट जारी किया।

हमलावर पोर्ट 427 (सर्विस लोकेशन प्रोटोकॉल, एसएलपी) के माध्यम से दूरस्थ रूप से और अप्रमाणित भेद्यता का फायदा उठा सकते हैं, जो एक ऐसा प्रोटोकॉल है जिसका अधिकांश वीएमवेयर ग्राहक उपयोग नहीं करते हैं।

रैंसमवेयर प्रभावित सिस्टम पर निम्नलिखित एक्सटेंशन वाली फाइलों को एन्क्रिप्ट करता है: .vmdk, .vmxf, .vmsd, .vmsn, .vmss, .vswp, .nvram और .vmem। फिर, यह फ़ाइलों को अनलॉक करने के लिए VMX प्रक्रिया को समाप्त करके वर्चुअल मशीन को बंद करने का प्रयास करता है।

एन्क्रिप्शन किए जाने के बाद एक टेक्स्ट नोट छोड़ा जाता है (चित्रा ए), तीन दिनों के भीतर बिटकॉइन क्रिप्टोकुरेंसी में भुगतान करने के लिए फिरौती मांगना।

चित्रा ए

इस हमले के पीछे रैंसमवेयर का खतरा ज्ञात नहीं है, क्योंकि मैलवेयर एक नया रैंसमवेयर प्रतीत होता है। OVH ने बताया है कि कई सुरक्षा शोधकर्ताओं के अनुसार, रैंसमवेयर में इस्तेमाल किया जाने वाला एन्क्रिप्शन सिफर वही है जो सितंबर 2021 से लीक हुए बाबुक मालवेयर कोड में इस्तेमाल किया गया था, हालांकि कोड संरचना अलग है।

2021 में लीक हुए बाबूक कोड का उपयोग अन्य मैलवेयर बनाने के लिए किया गया है जो अक्सर ESXi सिस्टम को लक्षित करते हैं, लेकिन उस नए मैलवेयर के आरोपण के रूप में एक निश्चित निष्कर्ष निकालना जल्दबाजी होगी, जिसे सुरक्षा शोधकर्ताओं द्वारा ESXiArgs करार दिया गया है।

फ्रांस और अमेरिका सबसे बड़े निशाने पर हैं

इंटरनेट से जुड़े उपकरणों के माध्यम से खोज करने के लिए एक ऑनलाइन टूल सेंसिस सर्च से पता चलता है कि 1,000 से अधिक सर्वर रैंसमवेयर द्वारा सफलतापूर्वक हिट किए गए हैं, ज्यादातर फ्रांस में, इसके बाद अमेरिका और जर्मनी में।

इस खबर को लिखे जाने तक, फ्रांस में 900 से अधिक सर्वरों को हैक किया गया था, जबकि अमेरिका में लगभग 400 सर्वरों को नुकसान पहुंचा था।

बहुत अधिक सिस्टम कमजोर हो सकते हैं और अभी तक हमला नहीं किया गया है। शैडोसर्वर फाउंडेशन की रिपोर्ट है लगभग 27,000 उदाहरण असुरक्षित हो सकते हैंइसके VMware सॉफ़्टवेयर के संस्करण के अनुसार।

इस रैंसमवेयर के खतरे से अपने संगठन को कैसे सुरक्षित रखें

VMware ESXi के पैच न किए गए संस्करण चलाने वाले सिस्टम के लिए, पूर्ण प्राथमिकता SLP सेवा के चलने पर उसे काटने की है। भेद्यता का केवल उस सेवा के माध्यम से शोषण किया जा सकता है, इसलिए यदि इसे बंद कर दिया जाता है, तो इस वेक्टर के माध्यम से सिस्टम पर हमला नहीं किया जा सकता है।

अगले चरण में VMware – ESXi 7.x या ESXi 8.x – द्वारा समर्थित संस्करण में हाइपरविजर को फिर से इंस्टॉल करना और सभी सुरक्षा पैच लागू करना शामिल है।

अंत में, सभी प्रशासन सेवाओं को संरक्षित किया जाना चाहिए और केवल स्थानीय रूप से उपलब्ध होना चाहिए। यदि रिमोट एक्सेस की आवश्यकता है, तो मल्टी-फैक्टर ऑथेंटिकेशन या आईपी फ़िल्टरिंग वाले वीपीएन का उपयोग किया जाना चाहिए।

रैंसमवेयर हमलों को रोकने पर केंद्रित एक साइबर सुरक्षा फर्म बुलवॉल के मुख्य प्रौद्योगिकी अधिकारी जान लवमंड ने टेकरिपब्लिक को भेद्यता के बारे में अधिक बताया।

लोवमंड ने कहा, “फरवरी 2021 से भेद्यता की खोज के बाद से वीएमवेयर से एक पैच उपलब्ध है।” “यह सिर्फ यह दिखाने के लिए जाता है कि आंतरिक प्रणालियों और अनुप्रयोगों को पैच करने के लिए कई संगठनों को कितना समय लगता है, जो अपराधियों के अपना रास्ता खोजने के कई कारणों में से एक है। हमले की सतह बड़ी है, और निवारक सुरक्षा समाधान हो सकते हैं यदि भेद्यता को पैच नहीं किया गया है तो इस तरह के परिदृश्य में बायपास करें।”

लवमंड ने आपके नेटवर्क को पैच करने के महत्व पर भी बल दिया।

“यह 50-50 बाधाओं है कि आपकी कंपनी 2023 में रैनसमवेयर से सफलतापूर्वक प्रभावित होगी,” उन्होंने कहा। “सुरक्षा समाधान पैच न किए गए नेटवर्क की रक्षा नहीं कर सकते।”

इस रैंसमवेयर के खतरे से कैसे उबरें

सुरक्षा शोधकर्ता एनेस सोमनेज़ और अहमत ऐकाक ने इस रैंसमवेयर द्वारा किसी सिस्टम पर हमला किए जाने की स्थिति में पुनर्प्राप्त करने के लिए एक समाधान प्रदान किया है।

शोधकर्ता बताते हैं कि रैंसमवेयर .vmdk और .vmx जैसी छोटी फाइलों को एन्क्रिप्ट करता है, लेकिन सर्वर-फ्लैट.vmdk फाइल को नहीं, जिसमें वास्तविक डेटा होता है। इस फ़ाइल का उपयोग करके, फ़ॉलबैक करना और सिस्टम से जानकारी पुनर्प्राप्त करना संभव है।

OVHCloud के मुख्य सूचना सुरक्षा अधिकारी जूलियन लेवरार्ड ने लिखा है कि सोमनेज़ और ऐकैक द्वारा प्रलेखित विधि का परीक्षण OVH के साथ-साथ कई सुरक्षा विशेषज्ञों द्वारा कई प्रभावित सर्वरों पर 2/3 की सफलता दर के साथ किया गया है। उन्होंने कहा कि “इस प्रक्रिया के लिए ईएसएक्सआई वातावरण पर मजबूत कौशल की आवश्यकता है।”

प्रकटीकरण: मैं ट्रेंड माइक्रो के लिए काम करता हूं, लेकिन इस लेख में व्यक्त किए गए विचार मेरे हैं।

आगे पढ़िए: पैच प्रबंधन नीति (TechRepublic प्रीमियम)