执行摘要
Nevada勒索软件团伙于2023年2月发起了一场大规模攻击,主要针对暴露在互联网上的ESXi服务器。该团伙在短时间内攻陷了数百台服务器,造成重大影响。尽管此次攻击规模巨大,但目前似乎尚未有大量受害者支付赎金。
团伙背景
Nevada勒索软件团伙于2021年12月首次公开亮相,宣布招募RaaS(勒索软件即服务)成员。该团伙主要招募俄语和中文使用者,其加密模块采用Rust语言编写,目前仍在开发中,计划支持Windows和Linux系统。
控制面板
Nevada团伙为成员提供了控制面板,用于登录并获取正在进行的攻击的私有信息、与其他成员聊天等。
受害者分析
该团伙的加密模块不针对俄罗斯、阿尔巴尼亚、匈牙利、越南、马来西亚、泰国、土耳其和伊朗。攻击目标主要为法国,且通过利用多个漏洞攻陷暴露在互联网上的ESXi服务器。团伙加密ESXi系统的配置文件而非vmdk磁盘,并在受害者处留下勒索信息。
成功案例?
从表面上看,Nevada团伙在短时间内攻陷数百台服务器,似乎取得了巨大成功。然而,目前追踪其钱包地址发现仅转移了0.5BTC,表明受害者支付赎金的意愿较低。尽管如此,该团伙仍可能将此次事件视为重大胜利,并借助此次攻击获得的广泛关注吸引更多人才。
结论
Nevada勒索软件团伙是一个新兴且值得关注的力量。其首次攻击的受害者数量远超其他新团伙,尽管财务收益有限,但仍可能成为未来网络安全领域的重要威胁。
建议
- 建议仅必要情况下暴露ESXi接口。
- 强调版本控制和补丁管理的重要性,以防范类似攻击。
- 提供恢复加密配置文件的解决方案:
- 删除加密的配置文件。
- 创建一个空虚拟机。
- 在新机器上打开配置文件,并将其放置在加密机器的目录中。
- 替换配置文件中的信息为加密机器的名称。
- 在VMware界面中“注册VM”。
IOCs
- 104.152.52.55
- 43.130.10.173
