Ransomware mới khai thác lỗi VMware nhắm mục tiêu vào các máy chủ ESXi

14:00 | 13/02/2023 | HACKER / MALWARE

Các trình ảo hóa VMware ESXi là mục tiêu của một làn sóng tấn công mới được thiết kế để triển khai phần mềm tống tiền trên các hệ thống bị xâm nhập.

Ransomware mới khai thác lỗi VMware nhắm mục tiêu vào các máy chủ ESXi

Nhóm ứng phó khẩn cấp máy tính của Pháp cho biết: “Các chiến dịch tấn công này dường như khai thác lỗ hổng CVE-2021-21974 đã có bản vá từ ngày 23/2/2021”.

VMware trong cảnh báo riêng được phát hành vào thời điểm đó đã mô tả sự cố này là lỗ hổng tràn bộ đệm OpenSLP có thể dẫn đến việc thực thi mã tùy ý.

Nhà cung cấp dịch vụ ảo hóa lưu ý: “Một tác nhân độc hại nằm trong cùng một phân đoạn mạng với ESXi có quyền truy cập vào cổng 427, có thể kích hoạt sự cố tràn bộ nhớ trong dịch vụ OpenSLP dẫn đến thực thi mã từ xa”.

Nhà cung cấp dịch vụ đám mây của Pháp OVHcloud cho biết, các cuộc tấn công đang được phát hiện trên toàn cầu và chủ yếu nhắm vào châu Âu. Người ta nghi ngờ rằng các vụ xâm phạm có liên quan đến một chủng ransomware mới dựa trên Rust có tên là Nevada xuất hiện vào tháng 12/2022.

Các dòng ransomware khác được biết là đã sử dụng Rust trong những tháng gần đây bao gồm BlackCat, Hive, Luna, Nokoyawa, RansomExx và Agenda.

Các tác nhân đang mời cả các bên sử dụng tiếng Nga và tiếng Anh cộng tác với một số lượng lớn một số nhà môi giới truy cập ban đầu (IABs) trên web đen.

Đáng chú ý, nhóm đứng sau ransomware Nevada cũng đang tự mua quyền truy cập đã bị xâm phạm, nhóm này có một nhóm chuyên trách việc hậu khai thác và tiến hành xâm nhập mạng vào các mục tiêu mà chúng quan tâm.

Tuy nhiên, theo báo cáo của Bleeping Computer, các ghi chú đòi tiền chuộc trong các cuộc tấn công không có điểm tương đồng với phần mềm tống tiền Nevada, thêm vào đó, chủng này đang được theo dõi dưới tên ESXiArgs.

Người dùng được khuyến nghị nâng cấp lên phiên bản ESXi mới nhất để giảm thiểu các mối đe dọa tiềm ẩn cũng như hạn chế quyền truy cập vào dịch vụ OpenSLP đối với các địa chỉ IP đáng tin cậy.

OVHcloud đã xác nhận rằng các cuộc tấn công ransomware đã tận dụng lỗ hổng trong OpenSLP làm phương tiện thỏa hiệp ban đầu. Tuy nhiên, công ty cho biết họ không thể xác nhận liệu nó có dẫn đến việc lạm dụng CVE-2021-21974 ở giai đoạn này hay không. Nó cũng quay ngược lại những phát hiện ban đầu cho thấy mối liên hệ hợp lý với phần mềm tống tiền Nevada.

Nguyễn Chân

‹ › ×

Tin liên quan

Phát hiện lỗ hổng tràn bộ đệm trên hệ điều hành FreeBSD

09:59 | 16/12/2014

Các nhà nghiên cứu tại công ty Norse đã xác định được một lỗ hổng nghiêm trọng trong FreeBSD - hệ điều hành Unix được sử dụng phổ biến trên máy chủ, máy tính cá nhân và các nền tảng nhúng.

AuKill - Phần mềm độc hại mới có thể vô hiệu hóa cả chương trình chống virus để tấn công máy tính cá nhân

09:00 | 04/05/2023

Mới đây, các nhà nghiên cứu bảo mật đã phát cảnh báo về việc tin tặc đang sử dụng một công cụ mới có tên AuKill để vô hiệu hóa các chương trình bảo vệ hệ thống, sau đó chúng sẽ triển khai những thứ độc hại để tấn công máy tính cá nhân người dùng.

Bản cập nhật VMware vá lỗ hổng nghiêm trọng trong sản phẩm giám sát mạng

14:00 | 14/06/2023

Ngày 7/6 VMware đã phát hành bản vá khẩn cấp để giải quyết các lỗ hổng nghiêm trọng trong sản phẩm giám sát mạng Aria Operations for Networks, đây là lỗ hổng nguy hiểm khiến các doanh nghiệp phải hứng chịu các cuộc tấn công thực thi mã từ xa.

Lỗ hổng tràn bộ đệm nguy hiểm của Google Chrome

14:34 | 14/10/2009

Đầu tháng 10/2009, một lỗ hổng rất nguy hiểm được phát hiện trong trình duyệt Google Chrome. Lỗ hổng này cho phép hacker có thể thực thi mã độc trên máy tính của người sử dụng.

Mã độc tống tiền Abyss Locker nhắm mục tiêu vào các máy chủ VMware ESXi

09:00 | 08/08/2023

Các chuyên gia an ninh mạng tại nhóm bảo mật MalwareHunterTeam gần đây đã phát hiện hoạt động mới của mã độc tống tiền Abyss Locker, được thiết kế nhằm phát triển bộ mã hóa Linux để nhắm mục tiêu đến nền tảng máy ảo ESXi của VMware trong các cuộc tấn công vào doanh nghiệp.

Các tổ chức đối phó với mối đe dọa ngày càng tăng của ransomware như thế nào?

13:00 | 23/06/2022

Các cuộc tấn công ransomware đang trở nên phổ biến hơn, với tần suất các sự cố liên quan ngày càng gia tăng. Trong bối cảnh các nỗ lực số hóa được thúc đẩy nhanh chóng, các tổ chức sẽ phải chuẩn bị các bước như thế nào để đối phó trực tiếp với mối đe dọa này?

Cảng biển quốc tế lớn nhất của Nhật Bản bị tấn công ransomware

10:00 | 07/07/2023

Ngày 04/7, một vụ tấn công bằng ransomware đã xảy ra tại cảng Nagoya thuộc tỉnh Aichi, Nhật Bản. Vụ tấn công đã khiến cho hoạt động của cảng này bị đình trệ hoàn toàn trong hai ngày, hàng trăm xe container xếp hàng dài để chờ khắc phục sự cố

Tin cùng chuyên mục

Tấn công phishing với công cụ EVILGINX: mối đe dọa tiềm tàng

14:00 | 23/02/2024

Trong thời đại kỹ thuật số phát triển như hiện nay, tấn công phishing đã trở thành một mối đe dọa rất khó phòng tránh đối với người dùng mạng. Theo báo cáo của Tổ chức toàn cầu về chống lừa đảo trên mạng (Anti-Phishing Working Group), trong quý IV/2022, đã có hơn 304.000 trang web phishing được phát hiện, lừa đảo hơn 300 triệu người dùng trên toàn cầu. Đáng chú ý, số lượng trang web phishing đã tăng lên 6,9% so với quý trước, đạt mức cao nhất trong vòng 5 năm. Các cuộc tấn công phishing nhắm vào các tổ chức tài chính, ngân hàng và thanh toán trực tuyến chiếm 42,4% tổng số các cuộc tấn công. Số lượng các tên miền giả mạo đã tăng lên 11,5% so với quý III/2022, đạt mức cao nhất trong vòng 3 năm. Trong bối cảnh như vậy, việc nâng cao nhận thức và có các biện pháp đối phó với tấn công phishing là rất quan trọng.

Lỗ hổng Terrapin mới cho phép tin tặc hạ cấp bảo mật giao thức SSH

08:00 | 11/01/2024

Các nhà nghiên cứu bảo mật từ Đại học Ruhr Bochum (Đức) phát hiện ra một lỗ hổng trong giao thức mạng mật mã Secure Shell (SSH) có thể cho phép kẻ tấn công hạ cấp bảo mật của kết nối bằng cách phá vỡ tính toàn vẹn của kênh an toàn.

Tấn công lừa đảo qua email về tiền điện tử: Đánh cắp từ ví nóng và ví lạnh

09:00 | 10/01/2024

Song song với mức độ phổ biến toàn cầu của tiền điện tử và có nhiều cách thức lưu trữ mới thì các kho công cụ tấn công được sử dụng bởi những tác nhân đe dọa tiền kỹ thuật số cũng ngày càng được mở rộng. Bài viết này dựa trên báo cáo của Kaspersky đề cập đến các phương pháp tấn công email khác nhau được tội phạm mạng sử dụng trong các chiến dịch lừa đảo nhắm vào hai cách lưu trữ tiền điện tử phổ biến nhất: ví nóng và ví lạnh.

Phân tích chức năng gián điệp trong phiên bản mod WhatsApp tấn công người dùng Ả Rập

09:00 | 08/12/2023

Để bổ sung thêm những tính năng dành cho các nền tảng ứng dụng nhắn tin hiện nay, các nhà phát triển bên thứ ba đã đưa ra các bản mod (phiên bản sửa đổi của ứng dụng không chính thức) cung cấp các tính năng mới bên cạnh những nâng cấp về mặt giao diện. Tuy nhiên, một số mod này có thể chứa phần mềm độc hại cùng với các cải tiến hợp pháp. Một trường hợp điển hình đã xảy ra vào năm ngoái khi các nhà nghiên cứu Kaspersky phát hiện ra Trojan Triada bên trong bản mod WhatsApp. Gần đây, các nhà nghiên cứu đã phát hiện một bản mod Telegram có module gián điệp được nhúng và phân phối thông qua Google Play. Câu chuyện tương tự hiện tại xảy ra với WhatsApp, khi một số bản mod trước đây đã được phát hiện có chứa module gián điệp có tên là Trojan-Spy.AndroidOS.CanesSpy.