【預警】針對VMware vSphere的勒索病毒開始肆虐
近日,安全實驗室監(jiān)測到一款針對VMware vSphere的勒索病毒——RansomEXX病毒。“RansomExx”勒索軟件(又名“Defray777”)背后的組織在攻擊活動中使用了CVE-2019-5544和CVE-2020-3992漏洞。
這兩個漏洞都是存在于 VMware ESXi中的遠程代碼執(zhí)行漏洞,攻擊者將惡意的SLP(服務定位協(xié)議)請求發(fā)送到ESXi設備并對其進行控制。攻擊活動中,攻擊者首先入侵受害者公司的一臺設備,并以該設備為初始入口攻擊本地ESXi虛擬機并加密其虛擬硬盤。由于ESXi虛擬磁盤通常用于集中來自多個其他系統(tǒng)的數(shù)據(jù),被攻擊的虛擬機存儲了來自多個虛擬機的數(shù)據(jù),因此此次攻擊對該公司造成了較大影響。
詳細中毒情況
? VMware vsphere集群僅有vCenter處于正常狀態(tài);
? VMware vsphere部分:瀏覽ESXI Datastore發(fā)現(xiàn),虛擬機磁盤文件.vmdk,虛擬機描述文件.vmx被重命名,手動打開.vmx文件,發(fā)現(xiàn).vmx文件被加密;
? Windows部分:Windows客戶端出現(xiàn)出現(xiàn)文件被加密情況,加密程度不一,某些PC全盤加密,某些PC部分文件被加密;Windows系統(tǒng)日志被清理,無法溯源。
影響范圍
1、VMware ESXi 遠程代碼執(zhí)行漏洞(CVE-2019-5544)
lESXi = 6.7
lESXi = 6.5
lESXi = 6.0
lVMware Horizon DaaS = 8.x
2、VMWARE ESXI 遠程代碼執(zhí)行漏洞(CVE-2020-3992)
lESXi = 6.5
lESXi = 6.7
lESXi = 7.0
lVMware Cloud Foundation (ESXi) = 3.X
這兩個漏洞都是存在于 VMware ESXi中的遠程代碼執(zhí)行漏洞,攻擊者將惡意的SLP(服務定位協(xié)議)請求發(fā)送到ESXi設備并對其進行控制。攻擊活動中,攻擊者首先入侵受害者公司的一臺設備,并以該設備為初始入口攻擊本地ESXi虛擬機并加密其虛擬硬盤。由于ESXi虛擬磁盤通常用于集中來自多個其他系統(tǒng)的數(shù)據(jù),被攻擊的虛擬機存儲了來自多個虛擬機的數(shù)據(jù),因此此次攻擊對該公司造成了較大影響。
詳細中毒情況
? VMware vsphere集群僅有vCenter處于正常狀態(tài);
? VMware vsphere部分:瀏覽ESXI Datastore發(fā)現(xiàn),虛擬機磁盤文件.vmdk,虛擬機描述文件.vmx被重命名,手動打開.vmx文件,發(fā)現(xiàn).vmx文件被加密;
? Windows部分:Windows客戶端出現(xiàn)出現(xiàn)文件被加密情況,加密程度不一,某些PC全盤加密,某些PC部分文件被加密;Windows系統(tǒng)日志被清理,無法溯源。
影響范圍
1、VMware ESXi 遠程代碼執(zhí)行漏洞(CVE-2019-5544)
lESXi = 6.7
lESXi = 6.5
lESXi = 6.0
lVMware Horizon DaaS = 8.x
2、VMWARE ESXI 遠程代碼執(zhí)行漏洞(CVE-2020-3992)
lESXi = 6.5
lESXi = 6.7
lESXi = 7.0
lVMware Cloud Foundation (ESXi) = 3.X
lVMware Cloud Foundation (ESXi) = 4.X
需要防勒索病毒系統(tǒng),請聯(lián)系我們:全國免費咨詢電話:400-1021-996
