• Skip to main content

Naga Cyber Defense

Trusted Security for all of Indonesia

  • Home
  • About
  • Programs
  • Contact
  • Blog
You are here: Home / Archives for ESXi

ESXi

Cyberspies China Tertangkap Mengeksploitasi VMware ESXi Zero-Day

June 14, 2023 by Flamango

Mandiant telah mengamati kelompok cyberespionage China yang mengeksploitasi kerentanan zero-day VMware ESXi untuk eskalasi hak istimewa

Dilacak sebagai UNC3886, grup spionase siber China diamati telah mengeksploitasi kerentanan zero-day VMware ESXi untuk meningkatkan hak istimewa pada mesin virtual guest.

Diawali pada bulan September 2022, grup spionase tersebut menggunakan vSphere Installation Bundles (VIB) berbahaya, digunakan untuk menginstal pintu belakang pada hypervisor ESXi dan mendapatkan eksekusi perintah, manipulasi file, dan membalikkan kemampuan shell.

Mata-mata siber dalam serangan baru-baru ini terlihat mengambil kredensial vCenter Server untuk semua host ESXi yang terhubung, menerapkan backdoor menggunakan soket VMCI untuk pergerakan dan persistensi lateral, serta memodifikasi dan menonaktifkan layanan logging pada sistem yang disusupi.

UNC3886 dikenal karena mengeksploitasi bug zero-day dalam solusi firewall dan virtualisasi dalam serangan yang menargetkan organisasi pertahanan, teknologi, dan telekomunikasi di AS dan di kawasan Asia-Pasifik.

Menurut Mandiant, UNC3886 terlihat menggunakan skrip untuk mengambil kredensial dari server vCenter yang dikompromikan melalui database vPostgreSQL yang terhubung, menghitung semua host ESXi dan VM tamu mereka, dan mengubah daftar IP yang diizinkan di semua host ESXi yang terhubung.

Dilacak sebagai CVE-2023-20867, kerentanan itu memiliki peringkat ‘keparahan rendah’, karena eksploitasinya mengharuskan penyerang memiliki akses root ke server ESXi.

Cyberspies juga menggunakan skrip instalasi untuk menyebarkan VIB berbahaya ke host, dan mengeksploitasi CVE-2023-20867 untuk menjalankan perintah dan mentransfer file dari host ESXi yang disusupi ke dan dari VM tamu, tanpa autentikasi dan tanpa jejak.

Mandiant menuturkan sehubungan dengan CVE-2023-20867, akses kembali ke host ESXi memungkinkan penyerang untuk melakukan tindakan yang tidak diautentikasi dengan akun dengan hak istimewa tertinggi di semua mesin virtual yang berjalan di bawah host ESXi tersebut.

Selengkapnya: SecurityWeek

Tagged With: Cyberwarfare, ESXi, Mandiant, VirtualGate, VirtualPita, Vulnerability

Royal Ransomware Memperluas Serangan dengan Menargetkan Server ESXi Linux

February 22, 2023 by Flamango

Royal Ransomware mengikuti jalur yang sama, varian baru yang menargetkan sistem Linux muncul, Trend Micro memberikan analisis teknis varian tersebut.

Pelaku ransomware telah diamati memperluas target mereka dengan semakin mengembangkan versi berbasis Linux. Ini diperkirakan setelah terdeteksinya peningkatan serangan dua digit year-on-year (YoY) pada sistem di paruh pertama tahun 2022.

Mitra Linux Royal juga menargetkan server ESXi, perluasan target yang dapat berdampak besar pada pusat data perusahaan yang menjadi korban dan penyimpanan virtual.

Menurut data dari situs kebocoran kelompok ransomware, 10,7% dikaitkan dengan Royal, dengan hanya LockBit dan BlackCat di depannya, masing-masing menyumbang 22,3% dan 11,7%. Aktor ancamannya yang merupakan cabang dari Conti mungkin menjadi alasan klaim ketenarannya yang cepat segera setelah menjadi berita utama di lanskap ransomware.

Serangan ransomware ini menggabungkan teknik lama dan baru, yang mendukung teori bahwa pelaku di baliknya memiliki pengetahuan luas tentang adegan ransomware.

Ransomware Royal menargetkan bisnis kecil hingga menengah pada kuartal keempat tahun 2022: 51,9% korbannya adalah bisnis kecil, sementara 26,8% berukuran sedang. Hanya 11,3% dari korbannya untuk periode ini adalah perusahaan besar.

Berdasarkan hasil analisis teknis oleh Trend Micro, varian baru dari ransomware Royal memperluas serangan mereka untuk menargetkan server ESXi, menyebabkan kerusakan besar pada korbannya.

Melindungi sistem dari serangan ransomware, Trend Micro menyarankan pengguna menerapkan perlindungan data, pencadangan, dan tindakan pemulihan untuk mengamankan data dari kemungkinan enkripsi atau penghapusan, dan praktik terbaik lainnya.

Selengkapnya: Trend Micro

Tagged With: Conti, ESXi, Linux, Royal Ransomware

Kegunaan ESXiArgs-Recover untuk memulihkan Virtual Machine Terserang Ransomware

February 9, 2023 by Coffee Bean

ESXiArgs-Recover adalah alat untuk memungkinkan organisasi mencoba memulihkan virtual machine yang terkena serangan ransomware ESXiArgs.

CISA mengetahui bahwa beberapa organisasi telah melaporkan keberhasilan memulihkan file tanpa membayar uang tebusan. CISA menyusun alat ini berdasarkan sumber daya yang tersedia untuk umum, termasuk tutorial oleh Enes Sonmez dan Ahmet Aykac. Alat ini bekerja dengan merekonstruksi metadata virtual machine dari disk virtual yang tidak dienkripsi oleh malware. Untuk informasi selengkapnya, lihat Panduan Pemulihan virtual machine ESXiArgs Ransomware CISA.

disclaimer
Skrip ESXiArgs CISA didasarkan pada temuan yang diterbitkan oleh peneliti pihak ketiga yang disebutkan di atas. Setiap organisasi yang ingin menggunakan skrip pemulihan ESXiArgs CISA harus meninjau skrip dengan hati-hati untuk menentukan apakah skrip tersebut sesuai untuk lingkungan mereka sebelum menerapkannya. Skrip ini tidak berusaha untuk menghapus file konfigurasi terenkripsi, melainkan berusaha membuat file konfigurasi baru yang memungkinkan akses ke VM. Meskipun CISA bekerja untuk memastikan bahwa skrip seperti ini aman dan efektif, skrip ini dikirimkan tanpa jaminan, baik implisit maupun eksplisit. Jangan gunakan skrip ini tanpa memahami bagaimana hal itu dapat memengaruhi sistem Anda. CISA tidak bertanggung jawab atas kerusakan yang disebabkan oleh skrip ini.

Skrip ini disediakan “sebagaimana adanya” hanya untuk tujuan informasi. CISA tidak mendukung produk atau layanan komersial apa pun, termasuk subjek analisis apa pun. Referensi apa pun untuk produk, proses, atau layanan komersial tertentu oleh merek layanan, merek dagang, pabrikan, atau lainnya, bukan merupakan atau menyiratkan dukungan, rekomendasi, atau dukungan oleh CISA.

selengkapnya : github

Tagged With: ESXi, recover, Tool, Virtual Machine

Serangan Ransomware EsxiaArgs Besar-besaran Menargetkan Server VMware ESXi di Seluruh Dunia

February 4, 2023 by Coffee Bean

Admin, penyedia hosting, dan Tim Tanggap Darurat Komputer Prancis (CERT-FR) memperingatkan bahwa penyerang secara aktif menargetkan server VMware ESXi yang belum ditambal terhadap kerentanan eksekusi kode jarak jauh berusia dua tahun untuk menyebarkan ransomware.

Dilacak sebagai CVE-2021-21974, kelemahan keamanan disebabkan oleh masalah limpahan tumpukan di layanan OpenSLP yang dapat dimanfaatkan oleh pelaku ancaman yang tidak diautentikasi dalam serangan dengan kompleksitas rendah.

“Seperti penyelidikan saat ini, kampanye serangan ini tampaknya mengeksploitasi kerentanan CVE-2021-21974, yang tambalannya telah tersedia sejak 23 Februari 2021,” kata CERT-FR.

“Sistem yang saat ini ditargetkan adalah hypervisor ESXi dalam versi 6.x dan sebelum 6.7.”

Untuk memblokir serangan masuk, admin harus menonaktifkan layanan Service Location Protocol (SLP) yang rentan pada hypervisor ESXi yang belum diperbarui.

CERT-FR sangat menyarankan untuk menerapkan tambalan sesegera mungkin tetapi menambahkan bahwa sistem yang tidak ditambal juga harus dipindai untuk mencari tanda-tanda kompromi.

CVE-2021-21974 memengaruhi sistem berikut:

  • ESXi versions 7.x prior to ESXi70U1c-17325551
  • ESXi versions 6.7.x prior to ESXi670-202102401-SG
  • ESXi versions 6.5.x prior to ESXi650-202102101-SG

Ransomware ESXiArgs baru
Ransomware mengenkripsi file dengan ekstensi .vmxf, .vmx, .vmdk, .vmsd, dan .nvram pada server ESXi yang dikompromikan dan membuat file .args untuk setiap dokumen terenkripsi dengan metadata (kemungkinan diperlukan untuk dekripsi).

Sementara pelaku ancaman di balik serangan ini mengklaim telah mencuri data, satu korban melaporkan di forum BleepingComputer bahwa itu tidak terjadi dalam insiden mereka.

“Penyelidikan kami telah menentukan bahwa data belum disusupi. Dalam kasus kami, mesin yang diserang memiliki lebih dari 500 GB data tetapi penggunaan harian biasa hanya 2 Mbps. Kami meninjau statistik lalu lintas selama 90 hari terakhir dan tidak menemukan bukti data keluar transfer,” kata admin.

Korban juga menemukan catatan tebusan bernama “ransom.html” dan “How to Restore Your Files.html” pada sistem yang terkunci. Yang lain mengatakan bahwa catatan mereka adalah file teks biasa.

ESXiArgs ransom note (BleepingComputer)

Michael Gillespie dari ID Ransomware saat ini sedang melacak ransomware dengan nama ‘ESXiArgs,’ tetapi mengatakan kepada BleepingComputer bahwa hingga kami dapat menemukan sampel, tidak ada cara untuk menentukan apakah ia memiliki kelemahan dalam enkripsi.

BleepingComputer memiliki topik dukungan khusus di mana orang melaporkan pengalaman mereka dengan serangan ini.

Jika Anda memiliki informasi baru atau salinan malware, beri tahu kami agar peneliti dapat menganalisis kelemahannya.

Ini adalah cerita yang berkembang dan akan diperbarui dengan info baru saat tersedia …

sumber : bleepingcomputer

Tagged With: ESXi, geng ransomware, VMWare

Ransomware Luna baru mengenkripsi sistem Windows, Linux, dan ESXi

July 21, 2022 by Eevee

Keluarga ransomware baru yang dijuluki Luna dapat digunakan untuk mengenkripsi perangkat yang menjalankan beberapa sistem operasi, termasuk sistem Windows, Linux, dan ESXi.

Ditemukan oleh peneliti keamanan Kaspersky melalui iklan forum ransomware web gelap yang ditemukan oleh sistem pemantauan aktif Darknet Threat Intelligence perusahaan, Luna ransomware tampaknya dirancang khusus untuk digunakan hanya oleh aktor ancaman berbahasa Rusia.

Luna (Rusia untuk bulan) adalah ransomware yang sangat sederhana yang masih dalam pengembangan dan dengan kemampuan terbatas berdasarkan opsi baris perintah yang tersedia.

Namun, ia menggunakan skema enkripsi yang tidak umum, menggabungkan kurva elips X25519 yang cepat dan aman, pertukaran kunci Diffie-Hellman menggunakan Curve25519 dengan algoritma enkripsi simetris Advanced Encryption Standard (AES).

Argumen baris perintah ransomware Luna (Kaspersky)

Grup di balik ransomware baru ini mengembangkan jenis baru di Rust dan memanfaatkan sifat platform-agnostiknya untuk memindahkannya ke berbagai platform dengan sangat sedikit perubahan pada kode sumber.

Menggunakan bahasa lintas platform juga memungkinkan Luna ransomware untuk menghindari upaya analisis kode statis otomatis.

Luna lebih lanjut mengkonfirmasi tren terbaru yang diadopsi oleh geng kejahatan dunia maya yang mengembangkan ransomware lintas platform yang menggunakan bahasa seperti Rust dan Golang untuk membuat malware yang mampu menargetkan beberapa sistem operasi dengan sedikit atau tanpa perubahan.

Kaspersky mengatakan ada sangat sedikit data tentang korban yang telah dienkripsi menggunakan Luna ransomware, jika ada, mengingat kelompok itu baru saja ditemukan dan aktivitasnya masih dipantau.

Keluarga ransomware baru lainnya di bulan ini termasuk Lilith, ransomware berbasis konsol C/C++ yang menargetkan perangkat Windows 64-bit, dan 0mega, operasi ransomware baru yang menargetkan perusahaan sejak Mei dan menuntut tebusan jutaan dolar.

Keduanya dikenal mencuri data dari jaringan korban sebelum mengenkripsi sistem mereka untuk mendukung serangan pemerasan ganda mereka.

Sumber: Bleeping Computer

Tagged With: ESXi, Linux, Luna ransomware, Windows

Encryptor Linux baru dari REvil ransomware menargetkan mesin virtual ESXi

June 29, 2021 by Winnie the Pooh

Operasi ransomware REvil sekarang menggunakan encryptor Linux yang menargetkan dan mengenkripsi mesin virtual Vmware ESXi.

Dengan berpindahnya perusahaan ke mesin virtual untuk pencadangan yang lebih mudah, manajemen perangkat, dan penggunaan sumber daya yang efisien, geng ransomware semakin menciptakan alat mereka sendiri untuk mengenkripsi penyimpanan massal yang digunakan oleh VM.

Pada bulan Mei, Yelisey Boguslavskiy dari Advanced Intel membagikan posting forum dari operasi REvil di mana mereka mengkonfirmasi bahwa mereka telah merilis versi Linux dari encryptor mereka yang juga dapat bekerja pada perangkat NAS.

Kemarin, peneliti keamanan MalwareHunterTeam menemukan versi Linux dari ransomware REvil (alias Sodinokibi) yang juga tampaknya menargetkan server ESXi.

Vitali Kremez dari Advanced Intel, yang menganalisis varian baru REvil Linux, mengatakan kepada BleepingComputer bahwa ini adalah ELF64 yang dapat dieksekusi dan mencakup opsi konfigurasi yang sama yang digunakan oleh Windows executable yang lebih umum.

Kremez menyatakan bahwa ini adalah pertama kalinya varian Linux tersedia untuk umum sejak dirilis.

File hash yang terkait dengan encryptor REvil Linux telah dikumpulkan oleh peneliti keamanan Jaime Blasco dan dibagikan di Open Threat Exchange Alienvault.

Selengkapnya: Bleeping Computer

Tagged With: Cybersecurity, Encryptor Linux, ESXi, Ransomware, REvil ransomware, Sodinokibi

Sprite Spider muncul sebagai salah satu aktor ancaman ransomware paling merusak

February 2, 2021 by Winnie the Pooh

Pada KTT Intelijen Ancaman Siber SANS baru-baru ini, dua pimpinan keamanan siber CrowdStrike, Peneliti Keamanan Senior Sergei Frankoff dan Analis Intelijen Senior Eric Loui, memberikan perincian tentang aktor ransomware besar yang muncul yang mereka sebut Sprite Spider.

Seperti banyak penyerang ransomware lainnya, kelompok di balik serangan Sprite Spider telah berkembang pesat dalam kecanggihan dan kapasitas kerusakan sejak 2015.

Sprite Spider mulai menggunakan Trojan perbankan yang disebut Shifu pada tahun 2015, menambahkan pemuat malware bernama Vatet sekitar tahun 2017. Pada tahun 2018, geng tersebut menyebarkan Trojan akses jarak jauh yang disebut PyXie. Pada tahun 2019, grup tersebut berevolusi ke titik di mana ia menyebarkan ransomware yang disebut DEFRAY777.

Pada titik ini, peneliti CrowdStrike menghubungkan Shifu, Vatet, dan PyXie dengan serangan ransomware DEFRAY777. Mereka menyadari bahwa semua aktivitas dari komponen ini terkait dengan satu pelaku ancaman, yang telah terbang di bawah radar.

Geng tersebut seringkali dapat lolos dari deteksi terutama karena kodenya terlihat jinak, bersembunyi di proyek sumber terbuka seperti Notepad++.

Ancaman nyata dari Sprite Spider meningkat pada Juli 2020 ketika mulai menargetkan host ESXi, yang biasanya digunakan oleh organisasi besar yang menggunakan teknologi bare-metal hypervisor yang dikembangkan oleh VMware untuk mengelola beberapa mesin virtual.

Dengan menargetkan mesin EXSi, Sprite Spider tidak harus menerapkan ransomware di seluruh lingkungan organisasi — mereka hanya harus menargetkan beberapa server untuk mengenkripsi sebagian besar infrastruktur TI virtual.

Selengkapnya: CSO Online

Tagged With: Banking Trojan, Cybersecurity, DEFRAY777, ESXi, Malware, PyXie RAT, Ransomware, Security, Sprite Spider

Copyright © 2025 · Naga Cyber Defense · Sitemap

Cookies Settings
We use cookies on our website to give you the most relevant experience by remembering your preferences and repeat visits. By clicking “Accept”, you consent to the use of ALL the cookies.
Do not sell my personal information.
AcceptReject AllCookie Settings
Manage consent

Privacy Overview

This website uses cookies to improve your experience while you navigate through the website. Out of these, the cookies that are categorized as necessary are stored on your browser as they are essential for the working of basic functionalities of the website. We also use third-party cookies that help us analyze and understand how you use this website. These cookies will be stored in your browser only with your consent. You also have the option to opt-out of these cookies. But opting out of some of these cookies may affect your browsing experience.
Necessary
Always Enabled
Necessary cookies are absolutely essential for the website to function properly. These cookies ensure basic functionalities and security features of the website, anonymously.
Functional
Functional cookies help to perform certain functionalities like sharing the content of the website on social media platforms, collect feedbacks, and other third-party features.
Performance
Performance cookies are used to understand and analyze the key performance indexes of the website which helps in delivering a better user experience for the visitors.
Analytics
Analytical cookies are used to understand how visitors interact with the website. These cookies help provide information on metrics the number of visitors, bounce rate, traffic source, etc.
CookieDurationDescription
_ga2 yearsThe _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_11 minuteSet by Google to distinguish users.
_gid1 dayInstalled by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
Advertisement
Advertisement cookies are used to provide visitors with relevant ads and marketing campaigns. These cookies track visitors across websites and collect information to provide customized ads.
Others
Other uncategorized cookies are those that are being analyzed and have not been classified into a category as yet.
non-necessary
SAVE & ACCEPT
Powered by CookieYes Logo