Casa > cibernético Notícias > Acabou 5,000 HPE iLO 4 Interfaces batida por ransomware
CYBER NEWS

Sobre 5,000 HPE iLO 4 Interfaces batida por ransomware

Este artigo é sobre uma ameaça ransomware recente que tem milhares de sucesso da Hewlett-Packard Empresa Integrated Lights-Out 4 as interfaces ou HPE iLO 4 abreviado. Estas interfaces fornecem acesso aos servidores HP Enterprise e seu controle remoto. A ameaça do ransomware é criptografar os discos rígidos dos servidores e, em seguida, exigir Bitcoins como resgate para restaurar os arquivos dentro das unidades. Um pesquisador de segurança que usa o apelido do Twitter @M_Shahpasandi foi o primeiro a fazer a descoberta do ataque.

O que é Hewlett-Packard Enterprise iLO e interface relacionada?

iLO é um processador de gerenciamento de servidor remoto integrado nas placas de sistema dos servidores Hewlett-Packard Enterprise ProLiant e módulos de computação Synergy. O processador de gerenciamento permite o monitoramento e controle de servidores de locais remotos. O gerenciamento HPE iLO é uma ferramenta poderosa que oferece várias maneiras de configurar, atualizar, monitor, e consertar servidores remotamente.

A interface da web do iLO agrupa tarefas semelhantes para facilitar a navegação e o fluxo de trabalho. A interface é organizada em uma árvore de navegação. Os ramos de nível superior são Informações, Federação iLO, Console remoto, Mídia virtual, Gerenciamento de energia, Rede, Suporte remoto, e administração. Em poucas palavras, essas interfaces fornecem acesso administrativo a todos os servidores que estão sob o comando da interface.

Mais informações sobre os ataques direcionados ao HPE iLO 4

Parece que, por enquanto, as interfaces HPE iLO que foram atingidas pela ameaça de ransomware são acessível publicamente. Sobre 5,000 iLO-4 foi encontrado para ser exposto publicamente como Estatísticas Shodan mostrar.

Se a interface do HPE iLO for atingida pelo ransomware, o banner de segurança será alterado. O banner de segurança de login alterado adicionado por invasores afirma o seguinte:

Aviso de Segurança

Ei. Seu disco rígido está criptografado usando RSA 2048 criptografia assimétrica. Para descriptografar arquivos que você precisa para obter a chave privada.
Isso significa que somos os únicos no mundo a recuperar os arquivos para você. Nem mesmo Deus pode te ajudar. É tudo matemática e criptografia .
Se você quiser seus arquivos de volta, Envie um e-mail para 15fd9ngtetwjtdc@yopmail.com.
Nós não sabemos quem é você, Tudo o que precisamos é de algum dinheiro e estamos fazendo isso por uma boa causa.
Não entre em pânico se não respondermos durante 24 horas. Isso significa que não recebemos sua carta e nos escrevemos novamente.
Você pode usar esses trocadores de bitcoin para transferir bitcoin.
https://localbitcoins.com
https://www.kraken.com
Por favor, use o idioma inglês em suas cartas. Se você não fala inglês, use https://translate.google.com para traduzir sua carta no idioma inglês.

Processo:
1) Pague um pouco de BTC para o endereço de nossa carteira.(negociações quase impossíveis a menos que você seja um cidadão russo)
2) Enviaremos a você uma chave privada e instruções para descriptografar seu disco rígido
3) estrondo! Você recuperou seus arquivos.

Aqui está uma imagem que descreve o banner de segurança compartilhado por @M_Shahpasandi no Twitter:

As vítimas relatam que o ataque realmente criptografa ou limpa os discos rígidos que foram visados. A ordem cronológica do ataque é a seguinte:

  • O acesso é obtido à interface Integrated Lights-Out
  • O banner de login de segurança foi habilitado
  • Um ISO remoto foi montado
  • Scripts ou programas são executados a partir do ISO
  • O servidor é reiniciado

Especula-se que os invasores costumavam obter acesso executando o CVE-2013-4786 vulnerabilidade, que permite um ataque de força bruta offline para um hash de senha de um usuário iLO válido ou por meio do CVE-2017-12542 vulnerabilidade, que permite um desvio de autenticação, resolvido com a atualização para a versão iLO 2.53.

Muitos pesquisadores de segurança aconselham que HPE iLO 4 ou qualquer outra interface de controle remoto semelhante para servidores nunca deve ser conectada à Internet pública. VPNs seguras devem ser usados ​​para acesso e você deve ter o firmware mais recente instalado, que está disponível em todos os momentos.




Berta Bilbao

Berta é um pesquisador de malware dedicado, sonhando para um espaço cibernético mais seguro. Seu fascínio com a segurança de TI começou há alguns anos atrás, quando um malware bloqueado la fora de seu próprio computador.

mais Posts

Deixe um comentário

seu endereço de e-mail não será publicado. Campos obrigatórios são marcados *

Este site utiliza cookies para melhorar a experiência do usuário. Ao utilizar o nosso site você concorda com todos os cookies de acordo com o nosso Política de Privacidade.
Concordo