WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
Mã độc tống tiền nhắm tới máy chủ HPE
Các nhà nghiên cứu cho biết các máy chủ có giao diện quản lý kết nối Internet đang bị tấn công bởi mã độc mã hóa các tập tin trên hardware để tống tiền nạn nhân.
Nhà nghiên cứu M Shahpasandi của Iran UBCERT đã đăng ảnh chụp màn hình của một máy chủ HPE Proliant với thông báo đòi tiền chuộc là 2 Bitcoin để có công cụ giải mã các tập tin.
Các nhà nghiên cứu khác cho biết thấy các hoạt động quét mạng Internet trên diện rộng để xác định các hệ thống sử dụng công nghệ quản trị máy chủ từ xa ILO 4 của HPE.
Sử dụng công cụ Shodan.io, iTnews tìm thấy 5.040 hệ thống có giao diện ILO 4 kết nối với Internet, bao gồm 56 hệ thống ở Úc.
Cuộc tấn công liên quan đến brute-force mật khẩu quản trị từ xa thông qua giao diện quản lý nền tảng thông minh, vốn cấp quyền truy cập đầy đủ bên ngoài hệ điều hành cho phần cứng máy chủ.
Nghiên cứu trước đó đã cho thấy tương đối dễ dàng có được băm mật khẩu thông qua IPMI 2.0 và crack từ xa.
Ngăn chặn hành vi lấy cắp mật khẩu theo cách này hiện tại là không thể, vì cơ chế để thực hiện điều đó là một phần của đặc tính IPMI 2.0 và không thể tắt được.
Khi có mật khẩu, kẻ tấn công có thể từ xa gán một hình ảnh ISO và thực thi các lệnh tùy ý trên máy chủ đích, bao gồm mã hóa và xóa các tập tin trên đó.
Vẫn chưa rõ là đã có bất kỳ nạn nhân trả tiền chuộc hay chưa và nếu như đã trả tiền chuộc, họ có thành công trong việc giải mã các tập tin hay không.
Nhà nghiên cứu M Shahpasandi của Iran UBCERT đã đăng ảnh chụp màn hình của một máy chủ HPE Proliant với thông báo đòi tiền chuộc là 2 Bitcoin để có công cụ giải mã các tập tin.
Các nhà nghiên cứu khác cho biết thấy các hoạt động quét mạng Internet trên diện rộng để xác định các hệ thống sử dụng công nghệ quản trị máy chủ từ xa ILO 4 của HPE.
Sử dụng công cụ Shodan.io, iTnews tìm thấy 5.040 hệ thống có giao diện ILO 4 kết nối với Internet, bao gồm 56 hệ thống ở Úc.
Cuộc tấn công liên quan đến brute-force mật khẩu quản trị từ xa thông qua giao diện quản lý nền tảng thông minh, vốn cấp quyền truy cập đầy đủ bên ngoài hệ điều hành cho phần cứng máy chủ.
Nghiên cứu trước đó đã cho thấy tương đối dễ dàng có được băm mật khẩu thông qua IPMI 2.0 và crack từ xa.
Ngăn chặn hành vi lấy cắp mật khẩu theo cách này hiện tại là không thể, vì cơ chế để thực hiện điều đó là một phần của đặc tính IPMI 2.0 và không thể tắt được.
Khi có mật khẩu, kẻ tấn công có thể từ xa gán một hình ảnh ISO và thực thi các lệnh tùy ý trên máy chủ đích, bao gồm mã hóa và xóa các tập tin trên đó.
Vẫn chưa rõ là đã có bất kỳ nạn nhân trả tiền chuộc hay chưa và nếu như đã trả tiền chuộc, họ có thành công trong việc giải mã các tập tin hay không.
Theo ITNews