Hafta yavaş başlarken, büyük bir fidye yazılımı karışıklığına dönüştü ve saldırılar VMware ESXI sunucularını çalıştıran işletmelerde büyük bir darbe vurdu.
Saldırılar Cuma sabahı başladı ve tehdit aktörleri ESXIARGS olarak adlandırılan yeni bir fidye yazılımı varyantı ile eşleştirilmemiş VMware ESXI sunucularını hedef aldı.
Saldırılar hızlı ve yaygındı, yöneticiler dünya çapında kısa süre sonra bu yeni kampanyada şifrelendiklerini bildirdi.
Bu saldırıyı bu kadar yıkıcı kılan şey, birçok şirketin sunucu altyapısının çoğunu VMware ESXI'da çalıştırması ve bir cihazın birden çok sunucuyu aynı anda şifrelemesine izin vermesidir.
İyi haber şu ki, bazı yöneticiler diskleri düz dosyalardan yeniden inşa ederek sunucularını kurtarabildi, ancak bazıları bu dosyaların da şifrelendiği için bunu yapamayacağını bildirdi.
Ayrıca bu hafta yayınlanan yeni araştırmalar gördük ve Microsoft, yüzün üzerinde tehdit aktörünün fidye yazılımı ve Lockbit'in Conti'ye dayalı yeni bir şifreli oluşturmaya karar verdiğini söyledi.
Son olarak, Resculity, yeni Nevada fidye yazılımı, hizmet olarak işe alım ve gelecekteki saldırılar için hazırlama hakkında bir rapor yayınladı.
Son olarak, bu hafta ve geçmişte yürütülen fidye yazılımı saldırıları hakkında daha fazla bilgi edindik:
Katkıda bulunanlar ve bu hafta yeni fidye yazılımı bilgileri ve hikayeleri sunanlar arasında @PoLartoffee, @Serghei, @FWOSAR, @LePincomputer, @LawrenceAbrams, @seifreed, @seifreed, @SeifRhunterteam, @Strruppigel, @Vxunder, @Vxunder, @ Geekscyber, @Prodaft, @brkalbyrk7, @Resecurity, @msftSecintel, @1ZRR4H, @Pcrisk, @BrettCallow, @AHNLab, @jgreigj ve @k7computing.
Pcrisk, .ZFX uzantısını ekleyen yeni bir Makop varyantı buldu ve +ReadMe-Warning +.txt adlı bir fidye notu bıraktı.
Microsoft bugün güvenlik ekiplerinin 100'den fazla fidye yazılımı çetesini ve geçen yılın sonuna kadar aktif olarak kullanılan 50'den fazla benzersiz fidye yazılımı ailesini izlediğini açıkladı.
Pccrisk, .Masons uzantısını ekleyen yeni bir fidye yazılımı buldu ve Six62ix.txt adlı bir fidye notu bıraktı.
Pccrisk, .script uzantısını ekleyen ve Read_it.txt adlı bir fidye notu bırakan yeni bir Chaos Fidye yazılımı varyantı buldu.
Lockbit fidye yazılımı çetesi, diğer işlemlere dayalı olarak şifrelemeleri kullanmaya başladı, bu sefer Conti fidye yazılımı için sızdırılan kaynak koduna dayanarak birine geçiyor.
Güvenlik araştırmacıları pencereleri ve VMware ESXI sistemlerini hedefleyen dolap için daha iyi işlevselliği fark ettikçe, Nevada olarak bilinen nispeten yeni bir fidye yazılımı işlemi yeteneklerini hızlı bir şekilde büyütüyor gibi görünüyor.
Avrupa'nın en büyük bağımsız otomobil perakendecisi olarak tanımlanan Arnold Clark, bazı müşterilere Play Ransomware Group tarafından talep edilen 23 Aralık siber saldırısında kişisel bilgilerinin çalındığını bildiriyor.
Dahili izleme yoluyla, ASEC analiz ekibi yakın zamanda orijinal uzantıya “TZW” dosya uzantısını eklemeden önce dosyaları şifreleyen TZW fidye yazılımının dağılımını keşfetti.
Tucson, Arizona ve Nantucket, Massachusetts'teki okullar, ABD okulları 2023'ün ilk haftalarında bir tehdit barajıyla karşılaşmaya devam ettikçe siber saldırılarla uğraşıyor.
Pcrisk, .honkai'yi ekleyen yeni bir fidye yazılımı varyantı buldu ve #Decrypt My Files #.html adlı bir fidye notu bıraktı.
Pccrisk, .Sunjn uzantısını ekleyen yeni bir fidye yazılımı varyantı buldu ve Desttryption-guide.txt adlı bir fidye notu bıraktı.
Lockbit fidye yazılımı çetesi, ürünleri finansal kurumlar, bankalar ve ticaret, yatırım yönetimi ve pazar analizi şirketleri tarafından kullanılan İngiltere merkezli bir yazılım şirketi olan Ion Group'un Cyberattack için sorumluluk talep etti.
Son zamanlarda Petikvx tarafından paylaşılan bir tweet ile karşılaştık. Tweet, Warlock Dark Ordusu'na benzer grup adına sahip bir fidye yazılımı ailesindeydi. Kaos fidye yazılımı ile benzerlikler, saldırgan grubunun adıyla bitiyor gibi görünüyor. Tweet'ten fidye yazılımlarını analiz ettikten sonra, her ikisinin de kötü amaçlı yazılımlarının özelliklerine göre çok farklı gruplar olduğundan şüpheleniyoruz.
Tallahassee Memorial Healthcare (TMH), BT sistemlerini çevrimdışı olarak aldı ve Perşembe günü siber saldırının ardından acil olmayan prosedürleri askıya aldı.
Yöneticiler, barındırma sağlayıcıları ve Fransız Bilgisayar Acil Müdahale Ekibi (CERT-FR), saldırganların fidye yazılımlarını dağıtmak için iki yaşındaki bir uzaktan kod yürütme kırılganlığına karşı aktif olarak VMware ESXI sunucularını hedefledikleri konusunda uyarıyor.
Pccrisk, .DODOV2 uzantısını ekleyen ve dodov2_readit.txt adlı bir fidye notu bırakan yeni bir Dodo fidye yazılımı varyantı buldu.
Masif Esxiargs Fidye Yazılımı Saldırısı Hedefleri VMware ESXI Sunucuları Dünya Çapında
VMware, ESXI sunucularını Patch, OpenSlp Hizmetini Devre Dışı Bırakma konusunda uyarıyor
Royal Ransomware hedeflerinin Linux sürümü VMware ESXI sunucuları
Ransomware'de Hafta - 20 Ocak 2023 - Kripto Borsalarını Hedefleme
Fidye Yazılımında Hafta - 6 Ocak 2023 - Hedef Hedefi
Kaynak: Bleeping Computer