Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for ESXi

ESXi

Cyberspies China Tertangkap Mengeksploitasi VMware ESXi Zero-Day

by

Mandiant telah mengamati kelompok cyberespionage China yang mengeksploitasi kerentanan zero-day VMware ESXi untuk eskalasi hak istimewa

Dilacak sebagai UNC3886, grup spionase siber China diamati telah mengeksploitasi kerentanan zero-day VMware ESXi untuk meningkatkan hak istimewa pada mesin virtual guest.

Diawali pada bulan September 2022, grup spionase tersebut menggunakan vSphere Installation Bundles (VIB) berbahaya, digunakan untuk menginstal pintu belakang pada hypervisor ESXi dan mendapatkan eksekusi perintah, manipulasi file, dan membalikkan kemampuan shell.

Mata-mata siber dalam serangan baru-baru ini terlihat mengambil kredensial vCenter Server untuk semua host ESXi yang terhubung, menerapkan backdoor menggunakan soket VMCI untuk pergerakan dan persistensi lateral, serta memodifikasi dan menonaktifkan layanan logging pada sistem yang disusupi.

UNC3886 dikenal karena mengeksploitasi bug zero-day dalam solusi firewall dan virtualisasi dalam serangan yang menargetkan organisasi pertahanan, teknologi, dan telekomunikasi di AS dan di kawasan Asia-Pasifik.

Menurut Mandiant, UNC3886 terlihat menggunakan skrip untuk mengambil kredensial dari server vCenter yang dikompromikan melalui database vPostgreSQL yang terhubung, menghitung semua host ESXi dan VM tamu mereka, dan mengubah daftar IP yang diizinkan di semua host ESXi yang terhubung.

Dilacak sebagai CVE-2023-20867, kerentanan itu memiliki peringkat ‘keparahan rendah’, karena eksploitasinya mengharuskan penyerang memiliki akses root ke server ESXi.

Cyberspies juga menggunakan skrip instalasi untuk menyebarkan VIB berbahaya ke host, dan mengeksploitasi CVE-2023-20867 untuk menjalankan perintah dan mentransfer file dari host ESXi yang disusupi ke dan dari VM tamu, tanpa autentikasi dan tanpa jejak.

Mandiant menuturkan sehubungan dengan CVE-2023-20867, akses kembali ke host ESXi memungkinkan penyerang untuk melakukan tindakan yang tidak diautentikasi dengan akun dengan hak istimewa tertinggi di semua mesin virtual yang berjalan di bawah host ESXi tersebut.

Selengkapnya: SecurityWeek

Royal Ransomware Memperluas Serangan dengan Menargetkan Server ESXi Linux

by

Royal Ransomware mengikuti jalur yang sama, varian baru yang menargetkan sistem Linux muncul, Trend Micro memberikan analisis teknis varian tersebut.

Pelaku ransomware telah diamati memperluas target mereka dengan semakin mengembangkan versi berbasis Linux. Ini diperkirakan setelah terdeteksinya peningkatan serangan dua digit year-on-year (YoY) pada sistem di paruh pertama tahun 2022.

Mitra Linux Royal juga menargetkan server ESXi, perluasan target yang dapat berdampak besar pada pusat data perusahaan yang menjadi korban dan penyimpanan virtual.

Menurut data dari situs kebocoran kelompok ransomware, 10,7% dikaitkan dengan Royal, dengan hanya LockBit dan BlackCat di depannya, masing-masing menyumbang 22,3% dan 11,7%. Aktor ancamannya yang merupakan cabang dari Conti mungkin menjadi alasan klaim ketenarannya yang cepat segera setelah menjadi berita utama di lanskap ransomware.

Serangan ransomware ini menggabungkan teknik lama dan baru, yang mendukung teori bahwa pelaku di baliknya memiliki pengetahuan luas tentang adegan ransomware.

Ransomware Royal menargetkan bisnis kecil hingga menengah pada kuartal keempat tahun 2022: 51,9% korbannya adalah bisnis kecil, sementara 26,8% berukuran sedang. Hanya 11,3% dari korbannya untuk periode ini adalah perusahaan besar.

Berdasarkan hasil analisis teknis oleh Trend Micro, varian baru dari ransomware Royal memperluas serangan mereka untuk menargetkan server ESXi, menyebabkan kerusakan besar pada korbannya.

Melindungi sistem dari serangan ransomware, Trend Micro menyarankan pengguna menerapkan perlindungan data, pencadangan, dan tindakan pemulihan untuk mengamankan data dari kemungkinan enkripsi atau penghapusan, dan praktik terbaik lainnya.

Selengkapnya: Trend Micro

Kegunaan ESXiArgs-Recover untuk memulihkan Virtual Machine Terserang Ransomware

by

ESXiArgs-Recover adalah alat untuk memungkinkan organisasi mencoba memulihkan virtual machine yang terkena serangan ransomware ESXiArgs.

CISA mengetahui bahwa beberapa organisasi telah melaporkan keberhasilan memulihkan file tanpa membayar uang tebusan. CISA menyusun alat ini berdasarkan sumber daya yang tersedia untuk umum, termasuk tutorial oleh Enes Sonmez dan Ahmet Aykac. Alat ini bekerja dengan merekonstruksi metadata virtual machine dari disk virtual yang tidak dienkripsi oleh malware. Untuk informasi selengkapnya, lihat Panduan Pemulihan virtual machine ESXiArgs Ransomware CISA.

disclaimer
Skrip ESXiArgs CISA didasarkan pada temuan yang diterbitkan oleh peneliti pihak ketiga yang disebutkan di atas. Setiap organisasi yang ingin menggunakan skrip pemulihan ESXiArgs CISA harus meninjau skrip dengan hati-hati untuk menentukan apakah skrip tersebut sesuai untuk lingkungan mereka sebelum menerapkannya. Skrip ini tidak berusaha untuk menghapus file konfigurasi terenkripsi, melainkan berusaha membuat file konfigurasi baru yang memungkinkan akses ke VM. Meskipun CISA bekerja untuk memastikan bahwa skrip seperti ini aman dan efektif, skrip ini dikirimkan tanpa jaminan, baik implisit maupun eksplisit. Jangan gunakan skrip ini tanpa memahami bagaimana hal itu dapat memengaruhi sistem Anda. CISA tidak bertanggung jawab atas kerusakan yang disebabkan oleh skrip ini.

Skrip ini disediakan “sebagaimana adanya” hanya untuk tujuan informasi. CISA tidak mendukung produk atau layanan komersial apa pun, termasuk subjek analisis apa pun. Referensi apa pun untuk produk, proses, atau layanan komersial tertentu oleh merek layanan, merek dagang, pabrikan, atau lainnya, bukan merupakan atau menyiratkan dukungan, rekomendasi, atau dukungan oleh CISA.

selengkapnya : github

Serangan Ransomware EsxiaArgs Besar-besaran Menargetkan Server VMware ESXi di Seluruh Dunia

by

Admin, penyedia hosting, dan Tim Tanggap Darurat Komputer Prancis (CERT-FR) memperingatkan bahwa penyerang secara aktif menargetkan server VMware ESXi yang belum ditambal terhadap kerentanan eksekusi kode jarak jauh berusia dua tahun untuk menyebarkan ransomware.

Dilacak sebagai CVE-2021-21974, kelemahan keamanan disebabkan oleh masalah limpahan tumpukan di layanan OpenSLP yang dapat dimanfaatkan oleh pelaku ancaman yang tidak diautentikasi dalam serangan dengan kompleksitas rendah.

“Seperti penyelidikan saat ini, kampanye serangan ini tampaknya mengeksploitasi kerentanan CVE-2021-21974, yang tambalannya telah tersedia sejak 23 Februari 2021,” kata CERT-FR.

“Sistem yang saat ini ditargetkan adalah hypervisor ESXi dalam versi 6.x dan sebelum 6.7.”

Untuk memblokir serangan masuk, admin harus menonaktifkan layanan Service Location Protocol (SLP) yang rentan pada hypervisor ESXi yang belum diperbarui.

CERT-FR sangat menyarankan untuk menerapkan tambalan sesegera mungkin tetapi menambahkan bahwa sistem yang tidak ditambal juga harus dipindai untuk mencari tanda-tanda kompromi.

CVE-2021-21974 memengaruhi sistem berikut:

  • ESXi versions 7.x prior to ESXi70U1c-17325551
  • ESXi versions 6.7.x prior to ESXi670-202102401-SG
  • ESXi versions 6.5.x prior to ESXi650-202102101-SG

Ransomware ESXiArgs baru
Ransomware mengenkripsi file dengan ekstensi .vmxf, .vmx, .vmdk, .vmsd, dan .nvram pada server ESXi yang dikompromikan dan membuat file .args untuk setiap dokumen terenkripsi dengan metadata (kemungkinan diperlukan untuk dekripsi).

Sementara pelaku ancaman di balik serangan ini mengklaim telah mencuri data, satu korban melaporkan di forum BleepingComputer bahwa itu tidak terjadi dalam insiden mereka.

“Penyelidikan kami telah menentukan bahwa data belum disusupi. Dalam kasus kami, mesin yang diserang memiliki lebih dari 500 GB data tetapi penggunaan harian biasa hanya 2 Mbps. Kami meninjau statistik lalu lintas selama 90 hari terakhir dan tidak menemukan bukti data keluar transfer,” kata admin.

Korban juga menemukan catatan tebusan bernama “ransom.html” dan “How to Restore Your Files.html” pada sistem yang terkunci. Yang lain mengatakan bahwa catatan mereka adalah file teks biasa.

ESXiArgs ransom note (BleepingComputer)

Michael Gillespie dari ID Ransomware saat ini sedang melacak ransomware dengan nama ‘ESXiArgs,’ tetapi mengatakan kepada BleepingComputer bahwa hingga kami dapat menemukan sampel, tidak ada cara untuk menentukan apakah ia memiliki kelemahan dalam enkripsi.

BleepingComputer memiliki topik dukungan khusus di mana orang melaporkan pengalaman mereka dengan serangan ini.

Jika Anda memiliki informasi baru atau salinan malware, beri tahu kami agar peneliti dapat menganalisis kelemahannya.

Ini adalah cerita yang berkembang dan akan diperbarui dengan info baru saat tersedia …

sumber : bleepingcomputer

Ransomware Luna baru mengenkripsi sistem Windows, Linux, dan ESXi

by

Keluarga ransomware baru yang dijuluki Luna dapat digunakan untuk mengenkripsi perangkat yang menjalankan beberapa sistem operasi, termasuk sistem Windows, Linux, dan ESXi.

Ditemukan oleh peneliti keamanan Kaspersky melalui iklan forum ransomware web gelap yang ditemukan oleh sistem pemantauan aktif Darknet Threat Intelligence perusahaan, Luna ransomware tampaknya dirancang khusus untuk digunakan hanya oleh aktor ancaman berbahasa Rusia.

Luna (Rusia untuk bulan) adalah ransomware yang sangat sederhana yang masih dalam pengembangan dan dengan kemampuan terbatas berdasarkan opsi baris perintah yang tersedia.

Namun, ia menggunakan skema enkripsi yang tidak umum, menggabungkan kurva elips X25519 yang cepat dan aman, pertukaran kunci Diffie-Hellman menggunakan Curve25519 dengan algoritma enkripsi simetris Advanced Encryption Standard (AES).

Argumen baris perintah ransomware Luna (Kaspersky)

Grup di balik ransomware baru ini mengembangkan jenis baru di Rust dan memanfaatkan sifat platform-agnostiknya untuk memindahkannya ke berbagai platform dengan sangat sedikit perubahan pada kode sumber.

Menggunakan bahasa lintas platform juga memungkinkan Luna ransomware untuk menghindari upaya analisis kode statis otomatis.

Luna lebih lanjut mengkonfirmasi tren terbaru yang diadopsi oleh geng kejahatan dunia maya yang mengembangkan ransomware lintas platform yang menggunakan bahasa seperti Rust dan Golang untuk membuat malware yang mampu menargetkan beberapa sistem operasi dengan sedikit atau tanpa perubahan.

Kaspersky mengatakan ada sangat sedikit data tentang korban yang telah dienkripsi menggunakan Luna ransomware, jika ada, mengingat kelompok itu baru saja ditemukan dan aktivitasnya masih dipantau.

Keluarga ransomware baru lainnya di bulan ini termasuk Lilith, ransomware berbasis konsol C/C++ yang menargetkan perangkat Windows 64-bit, dan 0mega, operasi ransomware baru yang menargetkan perusahaan sejak Mei dan menuntut tebusan jutaan dolar.

Keduanya dikenal mencuri data dari jaringan korban sebelum mengenkripsi sistem mereka untuk mendukung serangan pemerasan ganda mereka.

Sumber: Bleeping Computer

Encryptor Linux baru dari REvil ransomware menargetkan mesin virtual ESXi

by

Operasi ransomware REvil sekarang menggunakan encryptor Linux yang menargetkan dan mengenkripsi mesin virtual Vmware ESXi.

Dengan berpindahnya perusahaan ke mesin virtual untuk pencadangan yang lebih mudah, manajemen perangkat, dan penggunaan sumber daya yang efisien, geng ransomware semakin menciptakan alat mereka sendiri untuk mengenkripsi penyimpanan massal yang digunakan oleh VM.

Pada bulan Mei, Yelisey Boguslavskiy dari Advanced Intel membagikan posting forum dari operasi REvil di mana mereka mengkonfirmasi bahwa mereka telah merilis versi Linux dari encryptor mereka yang juga dapat bekerja pada perangkat NAS.

Kemarin, peneliti keamanan MalwareHunterTeam menemukan versi Linux dari ransomware REvil (alias Sodinokibi) yang juga tampaknya menargetkan server ESXi.

Vitali Kremez dari Advanced Intel, yang menganalisis varian baru REvil Linux, mengatakan kepada BleepingComputer bahwa ini adalah ELF64 yang dapat dieksekusi dan mencakup opsi konfigurasi yang sama yang digunakan oleh Windows executable yang lebih umum.

Kremez menyatakan bahwa ini adalah pertama kalinya varian Linux tersedia untuk umum sejak dirilis.

File hash yang terkait dengan encryptor REvil Linux telah dikumpulkan oleh peneliti keamanan Jaime Blasco dan dibagikan di Open Threat Exchange Alienvault.

Selengkapnya: Bleeping Computer

Sprite Spider muncul sebagai salah satu aktor ancaman ransomware paling merusak

by

Pada KTT Intelijen Ancaman Siber SANS baru-baru ini, dua pimpinan keamanan siber CrowdStrike, Peneliti Keamanan Senior Sergei Frankoff dan Analis Intelijen Senior Eric Loui, memberikan perincian tentang aktor ransomware besar yang muncul yang mereka sebut Sprite Spider.

Seperti banyak penyerang ransomware lainnya, kelompok di balik serangan Sprite Spider telah berkembang pesat dalam kecanggihan dan kapasitas kerusakan sejak 2015.

Sprite Spider mulai menggunakan Trojan perbankan yang disebut Shifu pada tahun 2015, menambahkan pemuat malware bernama Vatet sekitar tahun 2017. Pada tahun 2018, geng tersebut menyebarkan Trojan akses jarak jauh yang disebut PyXie. Pada tahun 2019, grup tersebut berevolusi ke titik di mana ia menyebarkan ransomware yang disebut DEFRAY777.

Pada titik ini, peneliti CrowdStrike menghubungkan Shifu, Vatet, dan PyXie dengan serangan ransomware DEFRAY777. Mereka menyadari bahwa semua aktivitas dari komponen ini terkait dengan satu pelaku ancaman, yang telah terbang di bawah radar.

Geng tersebut seringkali dapat lolos dari deteksi terutama karena kodenya terlihat jinak, bersembunyi di proyek sumber terbuka seperti Notepad++.

Ancaman nyata dari Sprite Spider meningkat pada Juli 2020 ketika mulai menargetkan host ESXi, yang biasanya digunakan oleh organisasi besar yang menggunakan teknologi bare-metal hypervisor yang dikembangkan oleh VMware untuk mengelola beberapa mesin virtual.

Dengan menargetkan mesin EXSi, Sprite Spider tidak harus menerapkan ransomware di seluruh lingkungan organisasi — mereka hanya harus menargetkan beberapa server untuk mengenkripsi sebagian besar infrastruktur TI virtual.

Selengkapnya: CSO Online