Esxi Altyapılarına Yönelik Gerçekleştirilen Siber Saldırılara Ait Örnek Bir Vaka;

'B4TU

Katılımcı Üye
5 Şub 2019
392
438


Hacker Grubu: #Nevada #Ransomware
Zafiyetten etkilenen #Esxi sürümleri:
ESXi versions 7.x - ESXi70U1c-17325551
ESXi versions 6.7.x - ESXi670-202102401-SG
ESXi versions 6.5.x - ESXi650-202102101-SG

Kullanılan zafiyet: CVE-2021-21974
Saldırılan port: 427
Saldırgan ip listesi:
104.152.52.55
193.163.125.138
43.130.10.173
104.152.52.0/24

Hacklenen sistem üzerinde bırakılan virüs notunda:
3 gün içerisinde ödeme yapılması gerektiği, aksi takdirde sistemden ele geçirilmiş bazı verilerin illegal platformlarda yayınlanacağı ve fiyatın arttırılmasıyla tehdit edildiği görülüyor.
Fidye olarak talep ettikleri miktar güncel kurla 47.723 dolar tutarında.
Şifrelenen dosyaların şifresinin çözülmeye çalışılması verilere zarar verebileceği, çözebileceğini söyleyenlerin doğru söylemediği (burada bize laf atıyor :D ) ve sizi dolandıracağı belirtilmiş.

Ödeme yapılmadığı takdirde firma müşterilerine mail yolu ile ulaşıp şikayet edileceği (son zamanlarda trend oldu bu da), rakip firmalara bu verilerin satılacağı gibi tehdit içerikli mesajlar veriliyor.

Örnek Virüs mesajı:
"
How to Restore Your Files
Security Alert!!!
We hacked your company successfully
All files have been stolen and encrypted by us
If you want to restore files or avoid file leaks, please send 2.039732 bitcoins to the wallet 17kygf3ah6u***************
If money is received, encryption key will be available on TOX_ID: D6C324719AD0AA50A54E4F8DED8E822**************************************
Attention!!!
Send money within 3 days, otherwise we will expose some data and raise the price
Don't try to decrypt important files, it may damage your files
Don't trust who can decrypt, they are liars, no one can decrypt without key file
If you don't send bitcoins, we will notify your customers of the data breach by email and text message
And sell your data to your opponents or criminals, data may be made release
Note
SSH is turned on
Firewall is disabled
"

Bu tehditlere kulak asmayın, bir çok vakada bunun sadece ödeme alabilmek için kullandıklarına şahit olduk.

Şu ana kadar tespit edilen saldırgan ip adreslerini engellemek için firewall kurallarınızı güncelleyin.

Sonuç:
Açamazsınız, edemezsiniz dediklerine kulak asmayın, sonuç olumlu :)

Güvenli günler dileriz.
Olay ile ilgili bir haber: Massive ESXiArgs ransomware attack targets VMware ESXi servers worldwide
 
Moderatör tarafında düzenlendi:

Blwe

Uzman üye
17 Şub 2021
1,585
1,645
Green/Moderasyon
Konu tasarımı Geliştirilebilir. Eline sağlık, son kısımda ki Sonuç kısmını okuyunca insan bilgileniyor : D
 

AwiR

Katılımcı Üye
4 Ocak 2020
503
211


Hacker Grubu: #Nevada #Ransomware
Zafiyetten etkilenen #Esxi sürümleri:
ESXi versions 7.x - ESXi70U1c-17325551
ESXi versions 6.7.x - ESXi670-202102401-SG
ESXi versions 6.5.x - ESXi650-202102101-SG

Kullanılan zafiyet: CVE-2021-21974
Saldırılan port: 427
Saldırgan ip listesi:
104.152.52.55
193.163.125.138
43.130.10.173
104.152.52.0/24

Hacklenen sistem üzerinde bırakılan virüs notunda:
3 gün içerisinde ödeme yapılması gerektiği, aksi takdirde sistemden ele geçirilmiş bazı verilerin illegal platformlarda yayınlanacağı ve fiyatın arttırılmasıyla tehdit edildiği görülüyor.
Fidye olarak talep ettikleri miktar güncel kurla 47.723 dolar tutarında.
Şifrelenen dosyaların şifresinin çözülmeye çalışılması verilere zarar verebileceği, çözebileceğini söyleyenlerin doğru söylemediği (burada bize laf atıyor :D ) ve sizi dolandıracağı belirtilmiş.

Ödeme yapılmadığı takdirde firma müşterilerine mail yolu ile ulaşıp şikayet edileceği (son zamanlarda trend oldu bu da), rakip firmalara bu verilerin satılacağı gibi tehdit içerikli mesajlar veriliyor.

Örnek Virüs mesajı:
"
How to Restore Your Files
Security Alert!!!
We hacked your company successfully
All files have been stolen and encrypted by us
If you want to restore files or avoid file leaks, please send 2.039732 bitcoins to the wallet 17kygf3ah6u***************
If money is received, encryption key will be available on TOX_ID: D6C324719AD0AA50A54E4F8DED8E822**************************************
Attention!!!
Send money within 3 days, otherwise we will expose some data and raise the price
Don't try to decrypt important files, it may damage your files
Don't trust who can decrypt, they are liars, no one can decrypt without key file
If you don't send bitcoins, we will notify your customers of the data breach by email and text message
And sell your data to your opponents or criminals, data may be made release
Note
SSH is turned on
Firewall is disabled
"

Bu tehditlere kulak asmayın, bir çok vakada bunun sadece ödeme alabilmek için kullandıklarına şahit olduk.

Şu ana kadar tespit edilen saldırgan ip adreslerini engellemek için firewall kurallarınızı güncelleyin.

Sonuç:
Açamazsınız, edemezsiniz dediklerine kulak asmayın, sonuç olumlu :)

Güvenli günler dileriz.
Eline sağlık.
 

Ghost Killer

Harici Saldırı Timleri Koordinatörü
13 Ocak 2019
11,317
7,690
Siber dünyada siber vakalar (özellikle ransomware) artışa geçecek, eline sağlık.
 

kietnt

Yeni üye
4 Şub 2023
1
0
Hello

My company just went to this problem. Now all our VM machine was stopped and we can't make it start. We have tried to reset the machine, reset the ESXi service many times but no working.

Any people has experienced about this issue, please help us.
We are very grateful for that.

-----------------------------------
Now, when we connect to SSH, we got the message:

Security Alert!!!
We hacked your company successfully
All files have been stolen and encrypted by us
If you want to restore files or avoid file leaks, please send 2.098632 bitcoins to the wallet 1GwBZWkhA7sgxVCNuKRXVPEGuAEXpdshxb
If money is received, encryption key will be available on TOX_ID: D6C324719AD0AA50A54E4F8DED8E8220D8698DD67B218B5429466C40E7F72657C015D86C7E4A

--------------------------------------------------------------------------------

Attention!!!
Send money within 3 days, otherwise we will expose some data and raise the price
Don't try to decrypt important files, it may damage your files
Don't trust who can decrypt, they are liars, no one can decrypt without key file
If you don't send bitcoins, we will notify your customers of the data breach by email and text message
And sell your data to your opponents or criminals, data may be made release
 
Üst

Turkhackteam.org internet sitesi 5651 sayılı kanun’un 2. maddesinin 1. fıkrasının m) bendi ile aynı kanunun 5. maddesi kapsamında "Yer Sağlayıcı" konumundadır. İçerikler ön onay olmaksızın tamamen kullanıcılar tarafından oluşturulmaktadır. Turkhackteam.org; Yer sağlayıcı olarak, kullanıcılar tarafından oluşturulan içeriği ya da hukuka aykırı paylaşımı kontrol etmekle ya da araştırmakla yükümlü değildir. Türkhackteam saldırı timleri Türk sitelerine hiçbir zararlı faaliyette bulunmaz. Türkhackteam üyelerinin yaptığı bireysel hack faaliyetlerinden Türkhackteam sorumlu değildir. Sitelerinize Türkhackteam ismi kullanılarak hack faaliyetinde bulunulursa, site-sunucu erişim loglarından bu faaliyeti gerçekleştiren ip adresini tespit edip diğer kanıtlarla birlikte savcılığa suç duyurusunda bulununuz.