Търсене
Close this search box.

Нов рансъмуер използва грешка във VMware и се насочва към сървъри ESXi

Хипервайзорите VMware ESXi са мишена на нова вълна от атаки, предназначени за внедряване на софтуер за откуп в компрометирани системи.

„Изглежда, че тези кампании за атаки използват CVE-2021-21974, за който е налична кръпка от 23 февруари 2021 г.“, заяви екипът за реагиране при компютърни инциденти (CERT) на Франция в консултация в петък.

VMware, в свое собствено предупреждение, публикувано по това време, описа проблема като уязвимост на OpenSLP с препълване на купове, която може да доведе до изпълнение на произволен код.

„Злонамерен извършител, пребиваващ в същия мрежов сегмент като ESXi, който има достъп до порт 427, може да бъде в състояние да задейства проблема с препълването на купчината в услугата OpenSLP, което да доведе до отдалечено изпълнение на код“, отбеляза доставчикът на услуги за виртуализация.

Френският доставчик на облачни услуги OVHcloud заяви, че атаките се откриват в световен мащаб, като се обръща специално внимание на Европа. Има подозрения, че атаките са свързани с нов щам на ransomware, базиран на Rust, наречен Nevada, който се появи на сцената през декември 2022 г.

Други семейства рансъмуер, за които е известно, че са възприели Rust през последните месеци, включват BlackCat, Hive, Luna, Nokoyawa, RansomExx и Agenda.

„Хакерите канят както рускоезични, така и англоезични филиали да си сътрудничат с голям брой брокери за първоначален достъп (Initial Access Brokers – IAB) в [тъмната] мрежа“, заяви Resecurity миналия месец.

„Забележително е, че групата, която стои зад Nevada Ransomware, също купува компрометиран достъп сама, групата има специален екип за постексплоатация и за провеждане на мрежови прониквания в целите, които представляват интерес.“

Специалисти обаче съобщават, че бележките за откуп, наблюдавани при атаките, нямат сходство с Nevada ransomware, като добавя, че щамът се проследява под името ESXiArgs.

На потребителите се препоръчва да преминат към най-новата версия на ESXi, за да намалят потенциалните заплахи, както и да ограничат достъпа до услугата OpenSLP до доверени IP адреси.

 

Източник: The Hacker News

Подобни публикации

30 май 2024

OmniVision призна за атака с рансъмуер

Гигантът в областта на производството на полупроводници OmniVision ...
29 май 2024

Пуснат е експлойт за FortiSIEM с максимална тежест

Изследователи в областта на сигурността публикуваха доказателство з...
29 май 2024

Операторът на NYSE Intercontinental Exchange по...

Миналата сряда Комисията по ценните книжа и фондовите борси на САЩ ...
29 май 2024

Рутерът за игри TP-Link Archer C5400X е уязвим

Рутерът за игри TP-Link Archer C5400X е уязвим към пропуски в сигур...
29 май 2024

Christie's потвърждава пробив от RansomHub

Christie’s потвърди, че е претърпяла инцидент със сигурността...
28 май 2024

Потребителите на блокери на реклами имат пробле...

Много потребители съобщават, че видеоклиповете в YouTube автоматичн...
Бъдете социални
Още по темата
30/05/2024

OmniVision призна за атака ...

Гигантът в областта на производството на...
29/05/2024

Christie's потвърждава проб...

Christie’s потвърди, че е претърпяла инцидент...
28/05/2024

Хакерите се насочват към VP...

Заплахите се насочват към VPN устройствата...
Последно добавени
30/05/2024

OmniVision призна за атака ...

Гигантът в областта на производството на...
29/05/2024

Пуснат е експлойт за FortiS...

Изследователи в областта на сигурността публикуваха...
29/05/2024

Операторът на NYSE Intercon...

Миналата сряда Комисията по ценните книжа...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!