Kiber ransomware - novi napad koji paralelno napada ESXi i Windows sisteme
Kiber ransomware istovremeno napada VMware ESXi i Windows sisteme sa koordiniranim udarima preko iste infrastrukture.
Šta se desilo?
Analitičari iz Rapid7 su identifikovali i detaljno analizirali Kiber ransomware - novo zlonamerno programa koje istovremeno može da napadne VMware ESXi infrastrukturu i Windows servere u istoj mrežnoj sredini. Grupa iza ovog malvera koordinuje napade preko oba operativna sistema koristeći zajedničku infrastrukturu i identifikator kampanje.
Koga pogađa?
Kiber ransomware je posebno opasna pretnja za velika preduzeća koja zavise od virtualizovane infrastrukture. Ciljaju se pre svega VMware ESXi sredine gde može doći do šifrovanja kritičnih podataka i gašenja virtuelnih mašina, kao i Windows fajl serveri koji čuvaju najvažnije poslovne podatke. Operacije pokazuju koordiniran pristup što ukazuje na visok nivo pripreme napadača.
Kako se zaštititi?
- Redovno ažurirajte VMware ESXi i Windows sisteme najnovijim bezbednosnim zakrpama
- Implementirajte snažnu autentifikaciju i kontrolu pristupa na svim kritičnim sistemima
- Čuvajte redovne bekape važnih podataka na odvojenoj, sigurnoj lokaciji
- Monitorujte neobične aktivnosti i pokušaje šifrovanja u real-time
- Ograničite dozvole za izvršavanje PowerShell-a i ostalih alata za daljinsku administraciju
- Primenite princip najmanje privilegije na svim korisničkim nalozima
Tehnički detalji
ESXi varijanta je napisana u C++ programskom jeziku i koristi ChaCha8 šifrovanje sa RSA-4096 omotavanjem ključeva, iako ransom napomena tvrdi da koristi post-quantum Kyber1024 šifrovanje. Windows varijanta je napisana u Rust jeziku i stvarno primenjuje obećanu AES-256-CTR sa Kyber1024 i X25519 hibridnom šemom. Oba variјanta dele istu kampanju (5176) i Tor infrastrukturu koja se koristi za komunikaciju sa napadačima i objavljivanje ukrađenih podataka. ESXi verzija ima mogućnost da koristi esxcli alat za enumeraciju i gašenje virtuelnih mašina, dok Windows verzija ima eksperimentalnu podršku za Hyper-V okruženja preko PowerShell-a.
Preporuka Sajber Radara
Kiber predstavlja sofisticiran primer modernog ransomware-a jer kombinuje multi-platform pristup sa efektivnim mehanizmima za otežavanje oporavka. Organizacijama je hitno potrebno da procene stanje svojih ESXi i Windows infrastrukture, proveravaju bezbednosne provere pristupa i sprovedu planove oporavka od katastrofalnih scenarija.