據(jù)世界各地的國(guó)家網(wǎng)絡(luò)安全機(jī)構(gòu)和安全專家稱���,全球勒索軟件攻擊已經(jīng)襲擊了數(shù)千臺(tái)運(yùn)行VMware ESxi虛擬機(jī)監(jiān)控程序的服務(wù)器����,預(yù)計(jì)還會(huì)有更多的服務(wù)器受到影響�����。
法國(guó)計(jì)算機(jī)應(yīng)急響應(yīng)小組(CERT-FR)是第一個(gè)注意到并發(fā)送有關(guān)攻擊警報(bào)的小組����。
“3月<>日,CERT-FR意識(shí)到針對(duì)VMware ESXi虛擬機(jī)管理程序的攻擊活動(dòng)����,目的是在其上部署勒索軟件����,”CERT-FR寫道��。
[ 您對(duì)這些計(jì)算機(jī)病毒的了解程度說(shuō)明:定義�����、類型和示例��。 |注冊(cè)CSO新聞通訊���!]
其他國(guó)家網(wǎng)絡(luò)安全機(jī)構(gòu) - 包括美國(guó)����,法國(guó)和新加坡的組織 - 也發(fā)布了有關(guān)攻擊的警報(bào)����。據(jù)報(bào)道,法國(guó)�����、德國(guó)、芬蘭�����、美國(guó)和加拿大的服務(wù)器遭到入侵�����。
0 的 25 分 14 秒音量 0%
根據(jù)網(wǎng)絡(luò)安全公司Censys的數(shù)據(jù)���,到目前為止,全球已有3����,200多臺(tái)服務(wù)器遭到入侵。
CERT-FR 和其他機(jī)構(gòu)報(bào)告說(shuō)��,該攻擊活動(dòng)利用了 CVE-2021-21974 漏洞��,該漏洞自 23 年 2021 月 6 日起已提供補(bǔ)丁�。此漏洞會(huì)影響服務(wù)定位協(xié)議 (SLP) 服務(wù),并允許攻擊者遠(yuǎn)程利用任意代碼�����。CERT-FR表示,目前的目標(biāo)系統(tǒng)是6.x版的ESXi虛擬機(jī)管理程序���,低于7.<>版�����。
“可以在任何尚未更新的ESXi服務(wù)器上禁用SLP�,以進(jìn)一步降低入侵風(fēng)險(xiǎn)����,”CERT-FR在其通知中寫道。
網(wǎng)絡(luò)安全提供商DarkFeed周末發(fā)布的警報(bào)稱��,在歐洲�,法國(guó)和德國(guó)受攻擊的影響最大。據(jù)DarkFeed稱����,在法國(guó)和德國(guó)受到攻擊的大多數(shù)服務(wù)器分別由托管服務(wù)提供商OVHcloud和Hetzner托管。
DarkFeed公開發(fā)布的向襲擊受害者發(fā)出的贖金票據(jù)部分內(nèi)容是:“安全警報(bào)�����!我們成功地入侵了您的公司...3天內(nèi)匯款,否則我們會(huì)暴露一些數(shù)據(jù)并提高價(jià)格���。
DarkFeed引用的說(shuō)明稱��,將2.01584(約合23��,000美元)發(fā)送到比特幣錢包���,但顯然威脅行為者正在使用不同的錢包來(lái)收取費(fèi)用?�!坝腥さ氖?,比特幣錢包在每張贖金票據(jù)中都是不同的����。該組織沒有網(wǎng)站,只有TOX ID���,“DarkFeed說(shuō)���。
全球安全機(jī)構(gòu)正在向安全團(tuán)隊(duì)提供建議。
建議管理員更新到最新的 ESXi 版本
“建議受影響產(chǎn)品版本的用戶和管理員立即升級(jí)到最新版本�����。作為預(yù)防措施,還應(yīng)執(zhí)行完整的系統(tǒng)掃描以檢測(cè)任何入侵跡象���。還建議用戶和管理員評(píng)估勒索軟件活動(dòng)針對(duì)端口427是否可以在不中斷操作的情況下被禁用��,“新加坡計(jì)算機(jī)應(yīng)急響應(yīng)小組(SingCERT)在一份通知中表示��。
自攻擊曝光以來(lái)�����,安全研究人員一直在分析攻擊��,發(fā)布類似的建議并添加信息�。
“升級(jí)到最新版本的#ESXi����,并將對(duì)#OpenSLP服務(wù)的訪問(wèn)限制為受信任的IP地址,”安全研究員Matthieu Garin在Twitter帖子中建議����。Garin還提供了有助于恢復(fù)贖金文件的信息?����!肮粽咧患用芘渲梦募患用艽鎯?chǔ)數(shù)據(jù)的vmdk磁盤����。這絕對(duì)非常有用!“加林說(shuō)��。
與此同時(shí)�,美國(guó)機(jī)構(gòu)表示,他們正在評(píng)估所報(bào)道事件的影響���。
據(jù)路透社報(bào)道����,“CISA正在與我們的公共和私營(yíng)部門合作伙伴合作����,評(píng)估這些報(bào)告事件的影響�����,并在需要時(shí)提供援助��,”美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局在給媒體的一份報(bào)告中表示。
研究人員指出����,勒索軟件攻擊者通常以發(fā)達(dá)國(guó)家為目標(biāo)。
“發(fā)達(dá)國(guó)家通常更頻繁地成為勒索軟件攻擊的目標(biāo)���,因?yàn)樗麄儞碛懈嗟馁Y源和比特幣����,并且更有可能支付贖金要求����,”網(wǎng)絡(luò)安全公司CloudSEK的聯(lián)合創(chuàng)始人兼首席執(zhí)行官Rahul Sasi說(shuō)。
“這些國(guó)家也往往擁有更高密度的有價(jià)值的目標(biāo)�,例如大公司和政府機(jī)構(gòu),這些目標(biāo)可能會(huì)受到成功攻擊的影響��。此外�����,發(fā)達(dá)國(guó)家通常擁有更先進(jìn)的技術(shù)基礎(chǔ)設(shè)施���,這使得它們成為希望利用漏洞的網(wǎng)絡(luò)犯罪分子更具吸引力的目標(biāo)����,“Sasi補(bǔ)充道。
打造開箱即用的物聯(lián)網(wǎng)平臺(tái)
