О программе-вымогателе Termite Ransomware и ее перехвате с помощью VMware Carbon Black
Термит — это оператор программ-вымогателей (шифрование, кража данных, вымогательство), который недавно заявил о нескольких жертвах во Франции, Канаде, Германии, Омане и США. Их атаки нацелены на такие секторы, как государственные учреждения, образование, нефтегазовая промышленность, водоочистка и автомобилестроение. Логотип группы представляет собой стилизованного синего термита с элементами, напоминающими электронные схемы.
Группа, по всей видимости, использует модифицированную версию печально известного вымогательского ПО Babuk. После запуска вируса на устройстве файлы шифруются, и к их названиям добавляется расширение .termite. Также оставляется записка с требованиями выкупа (How To Restore Your Files.txt) с кратким описанием действий. Преступники предоставляют ссылку на свой Onion-сайт, а также уникальный токен и адрес электронной почты для связи. На сайте жертвам предлагается форма для прямой коммуникации, в которой нужно указать название компании, описание ситуации, полное имя, адрес электронной почты и "токен поддержки".
Полный метод работы злоумышленников пока не раскрыт, но они, вероятно, используют типичные тактики и процедуры, применяемые большинством операторов программ-вымогателей. Это включает получение начального доступа через фишинг, эксплуатацию уязвимостей или покупку учетных данных, а также повышение привилегий для управления сетью. Они похищают конфиденциальные данные одновременно с шифрованием файлов и угрожают опубликовать украденную информацию, если выкуп не будет выплачен. Кроме того, преступники отключают резервные копии и средства защиты, чтобы усложнить восстановление данных. Коммуникация с жертвами осуществляется через записки, зашифрованные каналы и сайты в сети TOR. Выкуп обычно требуют в криптовалюте.
Компания Symantec, входящая в группу Broadcom, защищает от этой угрозы следующими способами:
- На основе решения VMware Carbon Black
Связанные вредоносные индикаторы блокируются и обнаруживаются существующими политиками в продуктах VMware Carbon Black. Рекомендуется как минимум заблокировать запуск всех типов вредоносных программ (известных, подозрительных и PUP) и включить задержку выполнения для проверки в облаке, чтобы максимально использовать преимущества службы репутации VMware Carbon Black Cloud.
Здесь должен отработать модуль Ransom.Babuk,
- На основе машинного обучения
Тут работает модуль Heur.AdvML.B.
Более подробно об этом можно узнать тут.
Таги: VMware, Symantec, Carbon Black, Security, Ransomware
Новая библиотека esxi_utils от группировки BlackMatter для операций с ВМ и их шифрования на VMware ESXi
Несколько дней назад на различных новостных ресурсах появилась новость о том, что хакерская группа BlackMatter (которая появилась из групп Darkside и REvil) разработала библиотеку esxi_utils, предназначенную для выполнения вредоносных операций с хост-серверами виртуализации VMware ESXi. По-сути, это Linux-шифровальщик, на базе которого строятся программы-вымогатели (Ransomware), наносящие довольно серьезный урон крупным корпорациям.
Злодеи из BlackMatter заявляют своей целью крупные компании (от $100 миллионов годовой выручки), извлеченные данные которых они планируют публиковать в открытом доступе (очевидно, только их часть), а сами данные будут зашифровывать и вымогать деньги. С точки зрения географий - это US, UK, Канада и Австралия.
Итак, на днях группировка выпустила первый Linux Encryptor (Linux ELF64), который использует интерфейс esxcli:
В сам вредоносный пакет включены компоненты, реализующие следующие методы на C:
- esxi_utils
- files_proc
- file_encrypter
- setup_impl
- web_reporter
Будучи внедренными на сервере ESXi, они позволяют выполнять там различные операции, такие как вывод списка виртуальных машин, операции по их выключению, отключение сетевого экрана и многое другое. Это нужно для того, чтобы, например, выключить виртуальные машины перед зашифровкой их дисков.
Также интерфейсы данного средства предусматривают выполнение подобных команд сразу для всей инфраструктуры в один момент времени - то есть на всех серверах все ВМ останавливаются и их диски сразу же шифруются.
Различные источники также пишут, что подобные шифровальщики существуют уже давно и доступны от многих хакерских группировок. Сигнатуры большинства подобных средств уже внесены в базы данных продуктов для защиты корпоративной инфраструктуры.
Возможно, от распространения подобного рода ПО в вашей инфраструктуре вам помогут продукты VMware Carbon Black и VMware AppDefense, а возможно и нет:) Таги: VMware, ESXi, Security, AppDefense, Carbon Black, Enterprise
Еще одна критическая уязвимость в продуктах VMware - дырка в сервисах Carbon Black
В начале марта этого года мы писали о серьезной уязвимости в сервисах vCenter (CVE-2021-21972), которая
могла привести к удаленному исполнению кода злоумышленником. Уязвимость по степени критичности оценивалась на 9.8 из 10 (по шкале Common Vulnerability Scoring System Version 3.0). Нашел ее, кстати, русский инженер.
На днях была найдена еще одна уязвимость с высокой критичностью в сервисах Carbon Black - CVE-2021-21982 (вот ее описание на сайте VMware). Она затрагивает виртуальный модуль VMware Carbon Black Cloud Workload версий 1.0.0 и 1.0.1 и приводит к возможности обойти аутентификацию Carbon Black и получить максимальные привилегии (сам модуль находится в онпремизной инфраструктуре). Кстати, уязвимость нашел также русскоговорящий пентестер Егор Димитренко.
Самое забавное, что решение Carbon Black предназначено именно для обнаружения угроз на стороне рабочих станций, их анализа на стороне облака и предпринятия действий по защите инфраструктуры десктопов.
Критичность уязвимости по шкале CVSS - 9.1.
Суть ее заключается в том, что можно изменить URL доступа к административной консоли VMware Carbon Black Cloud Workload appliance таким образом, чтобы получить валидный токен пользователя с максимальными привилегиями к API виртуального модуля. Такой пользователь может просматривать и изменять все настройки модуля.
Чтобы избавиться от уязвимости нужно накатить обновление виртуального модуля VMware Carbon Black Cloud Workload 1.0.2.
Кстати, надо сказать, что в конце марта Егор нашел еще одну уязвимость в сервисах VMware vRealize Operations Manager (CVE-2021-21975 и CVE-2021-21983, на сайте VMware она описана вот тут). Она, правда не столь критична - ее CVSS находится в диапазоне 7.2 - 8.6.
Кстати, чтобы быть в курсе новостей о безопасности VMware можно подписаться на вот этот список рассылки.
Таги: VMware, Security, Carbon Black, Cloud, Virtual Appliance
Обеспечение безопасности рабочих станций корпоративной инфраструктуры с помощью VMware Carbon Black
В октябре прошлого года компания VMware объявила о покупке компании Carbon Black, занимающейся информационной безопасностью на уровне облака (cloud-native endpoint protection platform, EPP). Решение это позволяет обнаруживать угрозы на стороне рабочих станций, анализировать их на стороне облака и предпринимать действия по защите инфраструктуры десктопов предприятия. Это не антивирус, не сетевой экран, а... Таги: VMware, Carbon Black, Security, Workspace, ONE, UEM, VMachines
|