攻擊者現(xiàn)在盯上了可從互聯(lián)網(wǎng)來訪問的HPE iLO 4遠程管理界面�����,據(jù)稱加密硬盤�����,然后索要比特幣�����,那樣受害者才能拿回數(shù)據(jù)�。雖然還無法百分之百確認硬盤是不是真的被加密�����,但我們確實知道自昨天以來����,多名受害者已受到了這次攻擊的影響���。
HPE iLO 4(又叫HPE Integrated Lights-Out),它是內(nèi)置于某些惠普服務(wù)器的管理解決方案��,可讓管理員遠程管理設(shè)備�。管理員可以使用Web瀏覽器或移動應(yīng)用程序連接到iLO,管理員會看到一個登錄頁面���,如下所示���。
一旦登錄進去,管理員可以訪問日志����、重啟服務(wù)器�����、查看服務(wù)器信息及處理更多操作����。不過一項更強大的功能是,能夠訪問服務(wù)器的遠程控制臺�,因而全面訪問當前可訪問的操作系統(tǒng)外殼(shell)����。由于這個原因�,你絕不應(yīng)該將iLO設(shè)備直接連接到互聯(lián)網(wǎng),而是要求完全通過安全的VPN來訪問���。
HPE iLO 4勒索軟件
今天�,安全研究人員M. Shahpasandi發(fā)布了HPE iLO 4登錄屏幕的截圖�,登錄屏幕上有一則“安全通告”,聲明計算機的硬盤已加密���,擁有者必須支付贖金才能拿回數(shù)據(jù)���。
此安全通告是通過iLO 4 Login Security Banner(登錄安全Banner)配置設(shè)置添加的。該設(shè)置位于管理- >安全- >登錄安全Banner�,如下所示。
攻擊者添加的這個修改后的登錄安全Banner聲明如下:
|
安全通告
嘿�����。你的硬盤已使用RSA 2048非對稱加密進行了加密����。你需要獲得私鑰才能解密文件�����。
這意味著世界上只有我們才能為你恢復(fù)文件��。連上帝都幫不了你�。完全涉及數(shù)學(xué)和密碼�。
如果你想要拿回文件,請發(fā)送電子郵件至15fd9ngtetwjtdc@yopmail.com�。
我們不知道你是誰,我們只需要一點錢����,我們?yōu)榱苏x做這件事。
如果我們在24小時內(nèi)沒有回復(fù)你���,用不著恐慌。這意味著我們沒有收到你的來信�����,并再次寫信給我們�����。
你可以使用下列比特幣交易所來轉(zhuǎn)賬比特幣。
https://localbitcoins.com
https://www.kraken.com
記得信件請用英文�。如果你不會說英語,請使用https://translate.google.com�����,將信件翻譯成英文�����。
操作過程:
1)向我們的錢包地址付一些比特幣(除非你是俄羅斯公民�����,否則幾乎沒得商量)
2)我們會向你發(fā)來私鑰和操作說明�����,以解密你的硬盤
3)好了��!你拿回了你的文件���。
|
目前還不知道這則通告是不是只是一種恐嚇手段���,好讓受害者乖乖付款�。不過從所使用的公共電子郵件地址來看�����,我們確實知道已有9名受害者聯(lián)系過攻擊者����。這些電子郵件表明,受害者再也訪問不了其數(shù)據(jù)�����,所以它們似乎已采用某種方式經(jīng)過了加密����。
據(jù)M. Shahpasan聲稱,攻擊者要求將2個比特幣發(fā)送到地址19ujGd4zqwoHitT2D1hF3BVf73vYVCvxcm�,才能獲得解密密鑰。到目前為止�����,還沒有誰將比特幣打到這個地址�����。
索要2個比特幣
發(fā)送到19ujGd4zqwoHitT2D1hF3BVf73vYVCvxcm
-M. Shahpasandi(@M_Shahpasandi)2018年4月25日
勒索函中值得關(guān)注的一個方面是����,攻擊者聲稱,除非受害者來自俄羅斯����,否則贖金價格沒得商量。這對于俄羅斯的攻擊者來說很常見���,他們在許多情況下試圖避免感染俄羅斯受害者�����。
最后���,這有沒有可能只是誘餌/擦除軟件,而不是真正的勒索軟件攻擊���?勒索軟件攻擊通常為受害者提供一個獨特的ID��,以區(qū)別一名受害者和另一名受害者����。這防止受害者“竊取”另一名受害者支付的贖金,用來解鎖其計算機���。
在諸如此類的情況下:沒有提供獨特的ID���,電子郵件公開可以訪問,這很可能表明其主要目的是擦除服務(wù)器的內(nèi)容�����,或充當另一次攻擊的誘餌��。
HPE iLO 4絕不應(yīng)該直接連接到互聯(lián)網(wǎng)
將iLO 4之類的遠程管理工具暴露在互聯(lián)網(wǎng)面前從來不是件好事����。只應(yīng)該通過安全的VPN來訪問這類工具,防止它們被互聯(lián)網(wǎng)上的任何人掃描和訪問�����。
如果舊版本中的已知漏洞讓攻擊者得以繞過身份驗證��、執(zhí)行命令�,并添加新的管理員帳戶�����,那么將iLO暴露在公眾面前帶來的危險就更大了。鉆這些漏洞空子的腳本也唾手可得����。
找到連接的iLO界面同樣輕而易舉。在搜索引擎Shodan上快速搜索一下�����,就會發(fā)現(xiàn)5000多臺iLO 4設(shè)備連接到互聯(lián)網(wǎng)���,其中許多設(shè)備使用已知易受攻擊的版本��。
如果你目前在惠普服務(wù)器中使用iLO 4��,并運行舊版本�,務(wù)必確保升級到最新固件����。然后檢查管理員帳戶,查明有沒有帳戶是在你不知情的情況下創(chuàng)建的�����。最后但并非最不重要的一點是,確保你的iLO IP地址無法通過互聯(lián)網(wǎng)來訪問����,只能通過VPN來訪問。不然��,你完全是自找麻煩���。
(來源:云頭條微信公眾號)
在線咨詢
在線咨詢
0371-63319761
