Выпущен технический анализ ВПО Cl0p
Эксперты из SentinelLabs обнаружили новый вариант программы-вымогателя Cl0p, нацеленный на серверы под управлением ОС Linux. При запуске Cl0p создается новый процесс, который пытается повысить разрешения до уровня, позволяющего шифровать файлы в системе. Согласно исследованию, данное ВПО шифрует содержимое следующих директорий: /opt, /home,/root, а также каталоги Oracle (/u01 – /u04). Отмечается, что в механизме шифрования присутствует недостаток, благодаря которому расшифровка файлов
возможна, но занимает продолжительное время.
Раскрыты детали атак с использованием программы-вымогателя ESXiArgs
Специалисты из BleepingComputer опубликовали анализ ВПО ESXiArgs, нацеленного на уязвимые серверы VMware ESXi. Программа-вымогатель шифрует файлы с расширениями .vmxf,.vmx, .vmdk, .vmsd, .nvram на скомпрометированных серверах и создает файл .args
для каждого документа. По текущим данным, для проведения атак используется
уязвимость CVE-2021-21974, бюллетень по которой был выпущен CERT-FR. Для предотвращения атак рекомендуется отключить уязвимую службу определения
местоположения (SLP) на гипервизорах ESXi или установить последние обновления,
закрывающие уязвимость CVE-2021-21974
Уязвимость нулевого дня в ПО GoAnywhere MFT
Исследователи из Rapid7 рассказали об уязвимости в ПО для передачи файлов GoAnywhere MFT (Fortra), которая позволяет злоумышленнику удаленно внедрить код. Для успешного использования уязвимости требуется доступ к административной консоли из Интернета. В результате атаки злоумышленники получают возможность создавать новые учетные записи с правами администратора, похищать конфиденциальную информацию и использовать ее с целью получения выкупа. Специалисты из Rapid7 привели способы для определения потенциально уязвимых экземпляров GoAnywhere MFT, а также предоставили
рекомендации для смягчения последствий эксплуатации уязвимости.