Хакеры шифруют файлы на виртуальных дисках через эксплойт VMWare ESXi

Хакеры шифруют файлы на виртуальных дисках через эксплойт VMWare ESXi

Хакеры шифруют файлы на виртуальных дисках через эксплойт VMWare ESXi

Программы-вымогатели осваивают новую возможность — шифрование данных, сохраненных на виртуальных дисках. С этой целью их операторы пытаются применить эксплойты для RCE-уязвимостей в гипервизоре ESXi разработки VMWare.

Нововведение в настоящее время использует как минимум одна криминальная группа, оперирующая программой-шифровальщиком. Атаки RansomEXX, он же Defray777, на виртуальные машины были впервые обнаружены в минувшем октябре.

Чтобы добраться до содержимого виртуальных дисков, злоумышленники, по данным ZDNet, используют критические баги удаленного исполнения кода в VMware ESXi — CVE-2020-3992 (использование освобожденной памяти) и CVE-2019-5544 (возможность перезаписи указателя функции с выходом за пределы буфера, выявлена в ходе прошлогоднего конкурса Tianfu Cup).

Обе проблемы вызваны ошибками в реализации протокола SLP, помогающего устройствам находить службы в локальной сети. В случае эксплойта и та, и другая позволяет захватить контроль над хост-системой. Патчи разработчик уже выпустил, однако далеко не все удосужились их применить.

Атаки на организации, проводимые с помощью RansomEXX, начинаются с получения доступа к какому-либо устройству в целевой сети. Эту точку входа злоумышленники используют для обнаружения и взлома экземпляров ESXi, что позволяет нацелить зловреда на содержимое виртуальных дисков.

Аналогичную возможность заявил также автор недавно появившегося шифровальщика Babuk Locker, однако использование этой опции в его атаках пока не подтверждено.

Сисадминам, полагающимся на VMWare ESXi в управлении виртуальным пространством хранения данных, рекомендуется установить соответствующие патчи для гипервизора. В качестве временной меры защиты можно деактивировать службу OpenSLP, если в ней нет нужды.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Как действовать, если после перевода пугают «финансированием терроризма»

В МВД России рассказали, что делать, если мошенники используют схему, на которую попадаются пользователи банковских карт. Злоумышленники неожиданно переводят на счёт жертвы деньги, а затем требуют вернуть их обратно. После этого начинается запугивание: мошенники утверждают, будто человек якобы участвует в финансировании террористических организаций.

Как пояснили в ведомстве (цитируют РБК), такие переводы могут использоваться, чтобы замаскировать незаконные операции и добавить «ещё одно звено» в цепочку обналичивания денег.

Чтобы не попасться, в МВД советуют соблюдать несколько простых правил:

  • Сначала убедитесь, что перевод был настоящим. Мошенники нередко рассылают фальшивые уведомления о поступлении средств.
  • Сообщите в банк, если на карту пришли деньги от неизвестного отправителя — специалисты проверят источник перевода.
  • Не тратьте и не возвращайте деньги самостоятельно. Это может сделать только банк, чтобы вы случайно не стали частью мошеннической схемы. В некоторых приложениях есть специальная функция «возврата ошибочного перевода».
  • Сохраняйте все сообщения и контакты — они пригодятся, если придётся разбираться с инцидентом официально.

В МВД напоминают: даже если сумма кажется незначительной, распоряжаться такими деньгами нельзя — это может обернуться судебными проблемами.

Ранее ведомство также предупреждало о другой популярной схеме — с «ремонтом» газового оборудования. Мошенники звонят под видом сотрудников служб, предлагают «оформить новый договор» и просят подтвердить «талон» на фишинговом сайте. После этого жертву вынуждают сообщить СМС-код, а затем под видом «правоохранителей» уговаривают перевести деньги на «безопасный счёт».

Полицейские напоминают: не переходите по сомнительным ссылкам, не вводите личные данные и при малейших подозрениях сразу обращайтесь в банк или полицию.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru