Програма-вимагач ESXiArgs та як з нею бореться HostZealot
Хоча за останні роки кібератак і стало кількісно менше, якісно вони стали більш хитрими та непередбачуваним. Більше того, кіберзлочинці приділяють увагу використанню старих вразливостей, розраховуючи на те, що багато користувачів недбало ставляться до безпеки та важливості оновлення програмного забезпечення. У цій статті ми поговоримо про ESXiArgs Ransomware – шкідливе програмне забезпечення, яке використовує вразливість 2019 року.
- Технічна інформація про ESXiArgs
- На кого це впливає
- Наймасштабніша з коли-небудь зафіксованих атак з використанням програм-вимагачів не для Windows
- Загроза розголошення конфіденційних даних
- Як програми-вимагачі впливають на великі компанії
- Як захистити свій сервер від наступної атаки Ransomware
- Оновлюйте своє програмне забезпечення
- Впроваджуйте політику надійних паролів
- Навчіть своїх співробітників
- Використовуйте обмежений доступ до різних типів даних
- Не забувайте про резервні копії
- Розробити комплексний план реагування на інциденти
Якщо ви ще не постраждали від нього, рано радіти, що ви в безпеці. Захистити свої віртуальні машини заздалегідь краще за допомогою патчів, розміщених HostZealot в їхній базі знань. На цій сторінці ви знайдете докладні інструкції по встановленню патчів для різних версій VMware ESXi. Вся інформація доступна за адресою:
Технічна інформація про ESXiArgs
ESXiArgs – це шкідливе програмне забезпечення, яке вражає гіпервізор VMware ESXi – одну з найпопулярніших платформ віртуалізації. Його мета – пошкодити систему та вимагати викуп за відновлення. ESXiArgs шифрує файли (переважно типи файлів VMware VM) і підміняє файли "motd" (використовується для відображення при вході в систему) і "index.html" (домашня сторінка VMware ESXi), щоб розмістити в них вимогу про викуп.
На сторінці з вимогою викупу жертва має сплатити від 2 біткоїнів (сума залежить від організації), після чого вона отримає ключ для розшифрування файлів. Рання версія ESXiArgs, яку зловмисники використовували в першій хвилі атаки, мала вразливість. Шкідливе програмне забезпечення шифрувало файли вибірково – все, що не перевищувало 128 МБ, шифрувалося автоматично, але більші файли або пропускалися, або шифрувалися частково. Це дозволило розробникам створити скрипт ESXiArgs-Recovery. Він дозволить вам розшифрувати дані, зашифровані попередньою версією ESXiArgs.
У другій хвилі атаки кіберзлочинці змінили принцип роботи програми-здирника, використовуючи надійні алгоритми шифрування, зокрема AES-256 і RSA-2048. Це робить практично неможливим відновлення даних без приватного ключа, яким володіють зловмисники.
Визначити, яка версія шкідливого програмного забезпечення заразила ваш сервер, дуже просто. Достатньо лише поглянути на повідомлення з вимогою викупу. Якщо в ньому вказано BTC-гаманець, швидше за все, це рання версія ESXiArgs, і ви зможете відновити свої дані. У більш пізній версії програми кіберзлочинці сховали гаманець і пропонують жертві зв'язатися з ними, щоб отримати його.
На кого це впливає
Найцікавіше в цій історії те, що злом сервера використовує старі вразливості, зокрема CVE-2019-55441, а це означає, що фахівці з кібербезпеки виявили її ще у 2019 році. У перші дні атаки на сервер розробники VMware повідомили, що OpenSLP (який дозволяє комп'ютерам та іншим пристроям знаходити сервіси в локальній мережі без попередньої конфігурації) був відключений за замовчуванням ще в 2021 році. Саме так зловмисники атакують сервери, на яких працює старе програмне забезпечення.
Хакери переважно атакують сервери під управлінням гіпервізора ESXi 6.0-6.7. Атака може вплинути на деякі версії vSphere 7.0, які власники серверів все ще мають оновити до останнього патчу. Як виявилося, багато організацій, включаючи лікарні, школи, університети та великі підприємства, нехтують оновленням програмного забезпечення та додатковим захистом від кібератак.
Наймасштабніша з коли-небудь зафіксованих атак з використанням програм-вимагачів не для Windows
Зазвичай від програм-вимагачів страждають звичайні користувачі комп'ютерів з Windows, які перейшли за підозрілим посиланням або встановили скомпрометоване програмне забезпечення. З ESXiArgs ми маємо справу зі значними атаками програм-вимагачів на платформі VMware ESXi.
Він може шифрувати не лише файли та дані на окремих комп'ютерах, але й усю мережу організації. Від ESXiArgs постраждали майже 4 000 організацій по всьому світу, а за загальними оцінками, зловмисники можуть зашифрувати файли на 18 500 серверах, використовуючи вразливість CVE-2021-21974.
Найболючішим для організацій буде ураження інфраструктури віртуалізації шкідливим програмним забезпеченням, що означає, що власники серверів не зможуть просто відновити файли з резервної копії або замінити обладнання. Щоб повернути все до нормальної роботи, фахівці повинні відновити сервери ESXi та віртуальні машини. Це потребуватиме набагато більше часу та ресурсів і коштуватиме компанії набагато дорожче.
Але ви помиляєтесь, якщо думаєте, що заплатити хакерам за відновлення доступу до файлів – це вихід. Отриманий ключ може бути дуже повільним. Тож якщо ви розгорнули мережу з великою кількістю віртуальних машин, на відновлення вашого сервера підуть тижні. Крім того, відомо багато випадків, коли злочинці отримували викуп і не надавали жертвам ключі розшифровки. Організації втрачали час і гроші, не отримуючи очікуваних результатів.
Загроза розголошення конфіденційних даних
Однією з найсерйозніших загроз, пов'язаних з атаками програм-вимагачів, таких як ESXiArgs, є ризик розкриття або витоку конфіденційних даних. ESXiArgs може заблокувати доступ до цінних даних, таких як фінансова звітність та контракти. Проте, що більш важливо, зловмисники можуть розмістити ці дані у відкритому доступі або продати їх у даркнеті. Багато організацій покладаються на конфіденційність своїх даних для збереження конкурентної переваги, а розголошення цієї інформації може мати серйозні фінансові та репутаційні наслідки.
Останніми роками ми спостерігаємо різке збільшення кількості атак зловмисників, спрямованих на викрадення цінних даних. Це пов'язано з тим, що зловмисники знають про цінність конфіденційної інформації і про те, що організації намагатимуться запобігти її розголошенню. Зловмисники часто погрожують оприлюднити дані, якщо не буде публічно сплачено викуп, посилюючи тиск на постраждалу організацію, щоб вона задовольнила їхні вимоги.
Загроза розголошення даних є особливо гострою в таких галузях, як охорона здоров'я та фінанси, де конфіденційність пацієнтів і клієнтів має першорядне значення. У цих галузях витік даних може призвести до регуляторних штрафів, втрати клієнтів і непоправної шкоди репутації. Навіть в інших галузях розголошення конфіденційних даних може призвести до втрати довіри серед клієнтів і партнерів, що спричинить значні фінансові втрати.
Крім того, наслідки витоку даних можуть бути довготривалими: постраждалі організації часто стикаються з судовими позовами, регуляторними розслідуваннями та репутаційними втратами, на виправлення яких можуть піти роки.
Як програми-вимагачі впливають на великі компанії
Великі компанії особливо вразливі до атак вірусів-здирників через їхній розмір і складність. Такі організації часто мають розгалужену ІТ-інфраструктуру, яку важко захистити та контролювати. Така складність полегшує зловмисникам пошук вразливостей у мережі та використання їх для отримання доступу до конфіденційних даних.
Атаки можуть мати серйозні наслідки для великих компаній, таких як:
- Втрата доходу та репутації через простій бізнес-процесів, недоступність послуг чи продуктів для клієнтів та партнерів;
- Втрата або витік конфіденційних даних, таких як персональні дані клієнтів, фінансова інформація, інтелектуальна власність або конфіденційні дані. Це може призвести до штрафів, судових позовів або регуляторних санкцій;
- Втрата довіри та лояльності клієнтів, партнерів і співробітників через порушення безпеки та недостатній захист їхніх даних;
- Втрата конкурентоспроможності та здатності до інновацій через пошкодження або втрату цінних даних чи ресурсів;
- Втрата контролю над інфраструктурою та даними через шифрування або видалення файлів зловмисниками.
Фінансові наслідки атак програм-здирників для великих компаній можуть бути значними. Окрім витрат на програми-вимагачі, ці організації можуть зіткнутися зі зниженням продуктивності та витратами на усунення наслідків.
З огляду на серйозність загрози, великі компанії повинні застосовувати проактивний підхід до запобігання атакам з вимогами. Він включає регулярну оцінку вразливостей, моніторинг мережі та навчання співробітників, щоб переконатися, що вони усвідомлюють ризики і знають, як не стати жертвою атаки.
Як захистити свій сервер від наступної атаки Ransomware
Після атаки ESXiArgs та інших подібних інцидентів як ніколи важливо захистити сервери та іншу критично важливу інфраструктуру від подібних інцидентів. Ось кілька порад, які допоможуть вам мінімізувати ризик атаки вірусу-здирника та зменшити збитки, якщо така атака все ж таки відбудеться.
Оновлюйте своє програмне забезпечення
Оновіть усе програмне забезпечення – це найефективніший спосіб захистити ваш сервер і запобігти будь-яким атакам. Це стосується операційних систем, серверних додатків та іншого програмного забезпечення, що працює на серверах. Постачальники програмного забезпечення часто випускають патчі та оновлення, які виправляють вразливості безпеки та інші проблеми, тому відстежувати ці оновлення дуже важливо.
Впроваджуйте політику надійних паролів
Слабкі паролі – одна з найпоширеніших вразливостей, яку зловмисники використовують для доступу до серверів та інших систем. Щоб захиститися від атак вірусів-здирників, організація повинна впровадити надійну політику використання паролів. Вона повинна включати вимоги щодо складних паролів, регулярної зміни паролів та двофакторної автентифікації, де це можливо.
Навчіть своїх співробітників
Розкажіть користувачам про ризики та найкращі практики інтернет-безпеки. Це включає навчання розпізнаванню фішингових афер, уникненню завантаження шкідливого програмного забезпечення та повідомленню про підозрілу активність у ваш ІТ-відділ або відділ безпеки. Більшість зломів відбувається через те, що працівники переходять за підозрілими посиланнями, відкривають вкладення з електронних листів від різних організацій або встановлюють неліцензійне програмне забезпечення на свої комп'ютери. Важливо пояснити ризики, пов'язані з цими діями.
Використовуйте обмежений доступ до різних типів даних
Якщо у вашій організації працює багато співробітників з різним рівнем відповідальності, знайдіть час, щоб обмежити доступ до конфіденційних даних лише тим користувачам, яким вони не потрібні. Чим менше працівників мають доступ до певних файлів, тим менша ймовірність того, що кіберзлочинець зламає систему. Складна структура робить майже неможливим віддалений доступ до вашого сервера.
Не забувайте про резервні копії
Регулярне резервне копіювання має вирішальне значення для захисту вашої організації від наслідків атаки вірусів-здирників. Звичайно, це не допоможе у випадку вірусів на кшталт ESXiArgs, але ніхто не знає, якими будуть наступні атаки. Якщо ваші сервери скомпрометовані, наявність актуальних резервних копій може зробити різницю між незначними незручностями та катастрофічною втратою даних. Обов'язково зберігайте резервні копії за межами сайту в безпечному місці, щоб запобігти їхньому пошкодженню під час атаки.
Розробити комплексний план реагування на інциденти
Незважаючи на всі ваші зусилля, існує ймовірність того, що ваша організація може стати жертвою атаки зловмисників. Дуже важливо мати комплексний план реагування на інциденти. У ньому мають бути описані кроки для мінімізації збитків і швидкого відновлення роботи. Цей план повинен включати процедури ізоляції заражених систем, відновлення даних з резервних копій, а також комунікації із зацікавленими сторонами та клієнтами.
ESXiArgs – це небезпечне шкідливе програмне забезпечення, яке може завдати значної шкоди будь-якій організації, що стала його жертвою. Важливо вживати проактивних заходів для захисту своїх систем, а також навчати себе та своїх співробітників розпізнавати та уникати цих загроз. Також важливо регулярно створювати резервні копії даних, щоб мати змогу швидко відновити їх у разі атаки.