Новости Статьи VMware Veeam StarWind vStack Microsoft Nakivo Citrix Symantec События Релизы Видео Контакты Авторы RSS
Виртуализация и виртуальные машины

Все самое нужное о виртуализации и облаках

Более 6280 заметок о VMware, AWS, Azure, Veeam, Kubernetes и других

VM Guru | Ссылка дня: Полный список лабораторных работ VMware Hands-on Labs

О программе-вымогателе Termite Ransomware и ее перехвате с помощью VMware Carbon Black


Термит — это оператор программ-вымогателей (шифрование, кража данных, вымогательство), который недавно заявил о нескольких жертвах во Франции, Канаде, Германии, Омане и США. Их атаки нацелены на такие секторы, как государственные учреждения, образование, нефтегазовая промышленность, водоочистка и автомобилестроение. Логотип группы представляет собой стилизованного синего термита с элементами, напоминающими электронные схемы.

Группа, по всей видимости, использует модифицированную версию печально известного вымогательского ПО Babuk. После запуска вируса на устройстве файлы шифруются, и к их названиям добавляется расширение .termite. Также оставляется записка с требованиями выкупа (How To Restore Your Files.txt) с кратким описанием действий. Преступники предоставляют ссылку на свой Onion-сайт, а также уникальный токен и адрес электронной почты для связи. На сайте жертвам предлагается форма для прямой коммуникации, в которой нужно указать название компании, описание ситуации, полное имя, адрес электронной почты и "токен поддержки".

Полный метод работы злоумышленников пока не раскрыт, но они, вероятно, используют типичные тактики и процедуры, применяемые большинством операторов программ-вымогателей. Это включает получение начального доступа через фишинг, эксплуатацию уязвимостей или покупку учетных данных, а также повышение привилегий для управления сетью. Они похищают конфиденциальные данные одновременно с шифрованием файлов и угрожают опубликовать украденную информацию, если выкуп не будет выплачен. Кроме того, преступники отключают резервные копии и средства защиты, чтобы усложнить восстановление данных. Коммуникация с жертвами осуществляется через записки, зашифрованные каналы и сайты в сети TOR. Выкуп обычно требуют в криптовалюте.

Компания Symantec, входящая в группу Broadcom, защищает от этой угрозы следующими способами:

  • На основе решения VMware Carbon Black

Связанные вредоносные индикаторы блокируются и обнаруживаются существующими политиками в продуктах VMware Carbon Black. Рекомендуется как минимум заблокировать запуск всех типов вредоносных программ (известных, подозрительных и PUP) и включить задержку выполнения для проверки в облаке, чтобы максимально использовать преимущества службы репутации VMware Carbon Black Cloud.

  • На основе файлов

Здесь должен отработать модуль Ransom.Babuk,

  • На основе машинного обучения

Тут работает модуль Heur.AdvML.B.

Более подробно об этом можно узнать тут.


Таги: VMware, Symantec, Carbon Black, Security, Ransomware

Новая библиотека esxi_utils от группировки BlackMatter для операций с ВМ и их шифрования на VMware ESXi


Несколько дней назад на различных новостных ресурсах появилась новость о том, что хакерская группа BlackMatter (которая появилась из групп Darkside и REvil) разработала библиотеку esxi_utils, предназначенную для выполнения вредоносных операций с хост-серверами виртуализации VMware ESXi. По-сути, это Linux-шифровальщик, на базе которого строятся программы-вымогатели (Ransomware), наносящие довольно серьезный урон крупным корпорациям.

Злодеи из BlackMatter заявляют своей целью крупные компании (от $100 миллионов годовой выручки), извлеченные данные которых они планируют публиковать в открытом доступе (очевидно, только их часть), а сами данные будут зашифровывать и вымогать деньги. С точки зрения географий - это US, UK, Канада и Австралия.

Итак, на днях группировка выпустила первый Linux Encryptor (Linux ELF64), который использует интерфейс esxcli:

В сам вредоносный пакет включены компоненты, реализующие следующие методы на C:

  • esxi_utils
  • files_proc
  • file_encrypter
  • setup_impl
  • web_reporter

Будучи внедренными на сервере ESXi, они позволяют выполнять там различные операции, такие как вывод списка виртуальных машин, операции по их выключению, отключение сетевого экрана и многое другое. Это нужно для того, чтобы, например, выключить виртуальные машины перед зашифровкой их дисков.

Также интерфейсы данного средства предусматривают выполнение подобных команд сразу для всей инфраструктуры в один момент времени - то есть на всех серверах все ВМ останавливаются и их диски сразу же шифруются.

Различные источники также пишут, что подобные шифровальщики существуют уже давно и доступны от многих хакерских группировок. Сигнатуры большинства подобных средств уже внесены в базы данных продуктов для защиты корпоративной инфраструктуры.

Возможно, от распространения подобного рода ПО в вашей инфраструктуре вам помогут продукты VMware Carbon Black и VMware AppDefense, а возможно и нет:)


Таги: VMware, ESXi, Security, AppDefense, Carbon Black, Enterprise

Еще одна критическая уязвимость в продуктах VMware - дырка в сервисах Carbon Black


В начале марта этого года мы писали о серьезной уязвимости в сервисах vCenter (CVE-2021-21972), которая
могла привести к удаленному исполнению кода злоумышленником. Уязвимость по степени критичности оценивалась на 9.8 из 10 (по шкале Common Vulnerability Scoring System Version 3.0). Нашел ее, кстати, русский инженер.

На днях была найдена еще одна уязвимость с высокой критичностью в сервисах Carbon Black - CVE-2021-21982 (вот ее описание на сайте VMware). Она затрагивает виртуальный модуль VMware Carbon Black Cloud Workload версий 1.0.0 и 1.0.1 и приводит к возможности обойти аутентификацию Carbon Black и получить максимальные привилегии (сам модуль находится в онпремизной инфраструктуре). Кстати, уязвимость нашел также русскоговорящий пентестер Егор Димитренко.

Самое забавное, что решение Carbon Black предназначено именно для обнаружения угроз на стороне рабочих станций, их анализа на стороне облака и предпринятия действий по защите инфраструктуры десктопов.

Критичность уязвимости по шкале CVSS - 9.1.

Суть ее заключается в том, что можно изменить URL доступа к административной консоли VMware Carbon Black Cloud Workload appliance таким образом, чтобы получить валидный токен пользователя с максимальными привилегиями к API виртуального модуля. Такой пользователь может просматривать и изменять все настройки модуля.

Чтобы избавиться от уязвимости нужно накатить обновление виртуального модуля VMware Carbon Black Cloud Workload 1.0.2.

Кстати, надо сказать, что в конце марта Егор нашел еще одну уязвимость в сервисах VMware vRealize Operations Manager (CVE-2021-21975 и CVE-2021-21983, на сайте VMware она описана вот тут). Она, правда не столь критична - ее CVSS находится в диапазоне 7.2 - 8.6.

Кстати, чтобы быть в курсе новостей о безопасности VMware можно подписаться на вот этот список рассылки.


Таги: VMware, Security, Carbon Black, Cloud, Virtual Appliance

Обеспечение безопасности рабочих станций корпоративной инфраструктуры с помощью VMware Carbon Black


В октябре прошлого года компания VMware объявила о покупке компании Carbon Black, занимающейся информационной безопасностью на уровне облака (cloud-native endpoint protection platform, EPP). Решение это позволяет обнаруживать угрозы на стороне рабочих станций, анализировать их на стороне облака и предпринимать действия по защите инфраструктуры десктопов предприятия. Это не антивирус, не сетевой экран, а...


Таги: VMware, Carbon Black, Security, Workspace, ONE, UEM, VMachines

 
Интересное:





Зал Славы Рекламодателя
Ближайшие события в области виртуализации:

Быстрый переход:
VMware Offtopic Microsoft Veeam Cloud StarWind VMachines NAKIVO vStack Gartner Vinchin Nakivo IT-Grad Teradici VeeamON VMworld PowerCLI Citrix VSAN GDPR 5nine Hardware Nutanix vSphere RVTools Enterprise Security Code Cisco vGate SDRS Parallels IaaS HP VMFS VM Guru Oracle Red Hat Azure KVM VeeamOn 1cloud DevOps Docker Storage NVIDIA Partnership Dell Virtual SAN Virtualization VMTurbo vRealize VirtualBox Symantec Softline EMC Login VSI Xen Amazon NetApp VDI Linux Hyper-V IBM Google VSI Security Windows vCenter Webinar View VKernel Events Windows 7 Caravan Apple TPS Hyper9 Nicira Blogs IDC Sun VMC Xtravirt Novell IntelVT Сравнение VirtualIron XenServer CitrixXen ESXi ESX ThinApp Books P2V VCF vSAN Workstation Labs Backup Private AI Explore vDefend Data Protection ONE Tanzu AI Intel Live Recovery VCP V2V HCX Aria NSX DPU Update EUC Avi Broadcom Community Skyline Host Client Chargeback Horizon SASE Workspace ONE Networking Ransomware Tools Performance Lifecycle Network AWS API USB SDDC Fusion Whitepaper SD-WAN Mobile VMUG SRM ARM HCI Converter Photon OS Operations VEBA App Volumes Certification VMConAWS Workspace Imager SplinterDB DRS SAN vMotion Open Source iSCSI Partners HA Monterey Kubernetes vForum Learning vRNI UAG Support Log Insight AMD vCSA NSX-T Graphics NVMe HCIBench SureBackup Carbon Black vCloud Обучение Web Client vExpert OpenStack UEM CPU PKS vROPs Stencils Bug VTL Forum Video Update Manager VVols DR Cache Storage DRS Visio Manager Virtual Appliance PowerShell LSFS Client Datacenter Agent esxtop Book Photon Cloud Computing SSD Comparison Blast Encryption Nested XenDesktop VSA vNetwork SSO VMDK Appliance VUM HoL Automation Replication Desktop Fault Tolerance Vanguard SaaS Connector Event Free SQL Sponsorship Finance FT Containers XenApp Snapshots vGPU Auto Deploy SMB RDM Mirage XenClient MP iOS SC VMM VDP PCoIP RHEV vMA Award Licensing Logs Server Demo vCHS Calculator Бесплатно Beta Exchange MAP DaaS Hybrid Monitoring VPLEX UCS GPU SDK Poster VSPP Receiver VDI-in-a-Box Deduplication Reporter vShield ACE Go nworks iPad XCP Data Recovery Documentation Sizing Pricing VMotion Snapshot FlexPod VMsafe Enteprise Monitor vStorage Essentials Live Migration SCVMM TCO Studio AMD-V KB VirtualCenter NFS ThinPrint Memory SIOC Troubleshooting Stretched Bugs Director ESA Android Python Upgrade ML Hub Guardrails CLI VCPP Driver Foundation HPC Orchestrator Optimization SVMotion Diagram Ports Plugin Helpdesk VIC VDS Migration Air DPM Flex Mac SSH VAAI Heartbeat MSCS Composer
Полезные постеры:

Постер VMware vSphere PowerCLI 10

Постер VMware Cloud Foundation 4 Architecture

Постер VMware vCloud Networking

Постер VMware Cloud on AWS Logical Design Poster for Workload Mobility

Постер Azure VMware Solution Logical Design

Постер Google Cloud VMware Engine Logical Design

Постер Multi-Cloud Application Mobility

Постер VMware NSX (референсный):

Постер VMware vCloud SDK:

Постер VMware vCloud Suite:

Управление памятью в VMware vSphere 5:

Как работает кластер VMware High Availability:

Постер VMware vSphere 5.5 ESXTOP (обзорный):

 

Популярные статьи:
Как установить VMware ESXi. Инструкция по установке сервера ESXi 4 из состава vSphere.

Включение поддержки технологии Intel VT на ноутбуках Sony VAIO, Toshiba, Lenovo и других.

Типы виртуальных дисков vmdk виртуальных машин на VMware vSphere / ESX 4.

Как работают виртуальные сети VLAN на хостах VMware ESX / ESXi.

Как настроить запуск виртуальных машин VMware Workstation и Server при старте Windows

Сравнение Oracle VirtualBox и VMware Workstation.

Что такое и как работает виртуальная машина Windows XP Mode в Windows 7.

Диски RDM (Raw Device Mapping) для виртуальных машин VMware vSphere и серверов ESX.

Работа с дисками виртуальных машин VMware.

Где скачать последнюю версию VMware Tools для виртуальных машин на VMware ESXi.

Подключение локальных SATA-дисков сервера VMware ESXi в качестве хранилищ RDM для виртуальных машин.

Как перенести виртуальную машину VirtualBox в VMware Workstation и обратно

Инфраструктура виртуальных десктопов VMware View 3 (VDI)

Как использовать возможности VMware vSphere Management Assistant (vMA).

Бесплатные утилиты для виртуальных машин на базе VMware ESX / ESXi.

Интервью:

Alessandro Perilli
virtualization.info
Основатель

Ратмир Тимашев
Veeam Software
Президент


Полезные ресурсы:

Последние 100 утилит VMware Labs

Новые возможности VMware vSphere 8.0 Update 1

Новые возможности VMware vSAN 8.0 Update 1

Новые документы от VMware

Новые технологии и продукты на VMware Explore 2022

Анонсы VMware весной 2021 года

Новые технологии и продукты на VMware VMworld 2021

Новые технологии и продукты на VMware VMworld 2020

Новые технологии и продукты на VMware VMworld Europe 2019

Новые технологии и продукты на VMware VMworld US 2019

Новые технологии и продукты на VMware VMworld 2019

Новые технологии и продукты на VMware VMworld 2018

Новые технологии и продукты на VMware VMworld 2017



Copyright VM Guru 2006 - 2025, Александр Самойленко. Правила перепечатки материалов.
vExpert Badge