Hacker Grubu: #Nevada #Ransomware
Zafiyetten etkilenen #Esxi sürümleri:
ESXi versions 7.x - ESXi70U1c-17325551
ESXi versions 6.7.x - ESXi670-202102401-SG
ESXi versions 6.5.x - ESXi650-202102101-SG
Kullanılan zafiyet: CVE-2021-21974
Saldırılan port: 427
Saldırgan ip listesi:
104.152.52.55
193.163.125.138
43.130.10.173
104.152.52.0/24
Hacklenen sistem üzerinde bırakılan virüs notunda:
3 gün içerisinde ödeme yapılması gerektiği, aksi takdirde sistemden ele geçirilmiş bazı verilerin illegal platformlarda yayınlanacağı ve fiyatın arttırılmasıyla tehdit edildiği görülüyor.
Fidye olarak talep ettikleri miktar güncel kurla 47.723 dolar tutarında.
Şifrelenen dosyaların şifresinin çözülmeye çalışılması verilere zarar verebileceği, çözebileceğini söyleyenlerin doğru söylemediği (burada bize laf atıyor ) ve sizi dolandıracağı belirtilmiş.
Ödeme yapılmadığı takdirde firma müşterilerine mail yolu ile ulaşıp şikayet edileceği (son zamanlarda trend oldu bu da), rakip firmalara bu verilerin satılacağı gibi tehdit içerikli mesajlar veriliyor.
Örnek Virüs mesajı:
"
How to Restore Your Files
Security Alert!!!
We hacked your company successfully
All files have been stolen and encrypted by us
If you want to restore files or avoid file leaks, please send 2.039732 bitcoins to the wallet 17kygf3ah6u***************
If money is received, encryption key will be available on TOX_ID: D6C324719AD0AA50A54E4F8DED8E822**************************************
Attention!!!
Send money within 3 days, otherwise we will expose some data and raise the price
Don't try to decrypt important files, it may damage your files
Don't trust who can decrypt, they are liars, no one can decrypt without key file
If you don't send bitcoins, we will notify your customers of the data breach by email and text message
And sell your data to your opponents or criminals, data may be made release
Note
SSH is turned on
Firewall is disabled
"
Bu tehditlere kulak asmayın, bir çok vakada bunun sadece ödeme alabilmek için kullandıklarına şahit olduk.
Şu ana kadar tespit edilen saldırgan ip adreslerini engellemek için firewall kurallarınızı güncelleyin.
Sonuç:
Açamazsınız, edemezsiniz dediklerine kulak asmayın, sonuç olumlu
Güvenli günler dileriz.
Olay ile ilgili bir haber: Massive ESXiArgs ransomware attack targets VMware ESXi servers worldwide
Moderatör tarafında düzenlendi: