Hơn 500 máy chủ mới đã bị nhiễm bởi loại ransomware ESXiArgs một cách đại trà, phần lớn trong số đó đặt tại Pháp, Đức, Hà Lan, Vương quốc Anh và Ukraina.
Các phát hiện này được công bố bởi công ty quản lý bề mặt tấn công Censys, đã phát hiện ra “hai máy chủ có những lời ghi chú chuẩn xác giống nhau, ngày từ giữa tháng 10 năm 2022, ngay sau khi ESXi phiên bản 6.5 và 6.7 đạt đến cuối vòng đời của chúng“.
Nhóm đầu tiên bị lây nhiễm được ghi nhận vào ngày 12 tháng 10 năm 2022, sớm hơn nhiều so với khi chiến dịch bắt đầu phát triển mạnh vào đầu tháng 2 năm 2023. Sau đó, vào ngày 31 tháng 1 năm 2023, các lời ghi chú chuộc tiền trên hai máy chủ được cho là đã được cập nhật bằng phiên bản sửa đổi phù hợp với những người được sử dụng trong làn sóng hiện tại.
“Các biến thể của lời ghi chú chuộc tiền từ tháng 10 năm 2022 đến tháng 2 năm 2023 khá giống nhau về từ ngữ với lời ghi chú của một biến thể ransomware trước đó là Cheerscrypt, đã gây chú ý vào đầu năm 2022,” các nhà nghiên cứu Mark Ellzey và Emily Austin cho biết.
Nên lưu ý rằng, ESXiArgs được cho là dựa trên mã ransomware Babuk bị rò rỉ, cũng đã tạo ra các biến thể khác như Cheerscrypt và PrideLocker vào năm ngoái.
Sự phát triển này diễn ra chưa đầy một tuần sau khi các nhân vật đe dọa trở lại với một biến thể mới, với việc điều chỉnh phương pháp mã hóa và lời ghi chú chuộc tiền sau khi đã phát hành một công cụ giải mã để giúp khôi phục hệ thống bị nhiễm.
Tổ chức CISA của Mỹ cũng đã phát biểu rằng các kẻ tấn công “có thể nhắm đến các máy chủ ESXi đang kết thúc vòng đời hoặc các máy chủ ESXi không có các bản vá phần mềm ESXi hiện có.”
“Nhược điểm trong VMware ESXi là một lời nhắc nhở rõ ràng về sự quan trọng của việc duy trì các hệ thống với các bản vá bảo mật mới nhất và sử dụng các phương pháp phòng thủ bảo mật vững chắc,” Martin Zugec của Bitdefender nói.
“Kẻ tấn công không cần tìm kiếm những khai thác mới hoặc các kỹ thuật mới lạ khi họ biết rằng nhiều tổ chức dễ bị tấn công qua các lỗ hổng khai thác cũ do thiếu quản lý bản vá phù hợp và quản lý rủi ro.”
Số ca nhiễm cũng trùng khớp với tăng 87% so với cùng kỳ năm ngoái về các cuộc tấn công ransomware nhắm vào các tổ chức công nghiệp trong năm 2022, với 437 trong số 605 cuộc tấn công nhắm vào ngành sản xuất, theo một báo cáo mới từ Dragos, phần do sự tiếp tục phát triển của các mô hình ransomware-as-a-service (RaaS).
Dữ liệu được thu thập bởi công ty an ninh công nghiệp cho thấy có 189 cuộc tấn công ransomware được báo cáo chỉ trong quý cuối cùng của năm 2022. Các ngành hàng được nhắm vào nhiều nhất bao gồm sản xuất (143), thực phẩm và đồ uống (15), năng lượng (14), dược phẩm (9), dầu khí (4) và khai thác mỏ (1).
Đăng nhận xét
Đăng nhận xét